Google ve CrowdStrike, Açık Kaynak Yazılımları Hedef Alan Botneti Çökertti

Google, CrowdStrike ve Shadowserver Foundation, açık kaynak yazılım dünyasını yakından ilgilendiren önemli bir operasyon gerçekleştirdi. Üçlü iş birliğiyle, yazılımcıları hedef alan Glassworm botnet altyapısı devre dışı bırakıldı. Yani konu yalnızca birkaç bilgisayara bulaşan sıradan bir zararlı yazılım vakası değil.

Glassworm’u tehlikeli yapan asıl nokta, doğrudan yazılımcıların kullandığı araçları hedef almasıydı. Çünkü bir geliştiricinin bilgisayarı ele geçirildiğinde, o kişinin erişebildiği kod depoları, paket sistemleri ve bulut altyapıları da risk altına girebiliyor. Bu da saldırının etkisini tek kişiden binlerce kullanıcıya taşıyabiliyor.

Glassworm, geliştiricilerin güvendiği araçlar üzerinden yayılıyordu

CrowdStrike’ın aktardığı bilgilere göre Glassworm; sahte VS Code eklentileri, zararlı npm ve Python paketleri, ayrıca ele geçirilmiş GitHub hesapları üzerinden yayılıyordu. Saldırganlar bazı eklentileri zaman takip aracı ya da kod biçimlendirici gibi göstererek geliştiricilerin güvenini kazanmaya çalıştı.

İşin daha da ciddi tarafı, saldırganların daha önce çaldıkları geliştirici kimlik bilgileriyle 300’den fazla GitHub deposuna zararlı kod yerleştirmesiydi. Böylece yalnızca virüs bulaşan bilgisayarlar değil, bu depolardaki kodları kullanan kişi ve kurumlar da potansiyel tehlikenin içine çekildi.

Botnet’in “kolay kolay çökmez” denilen altyapısı vardı

Glassworm’un altyapısı özellikle dayanıklı olacak şekilde tasarlanmıştı. Botnet; Solana blockchain, BitTorrent DHT ağı, Google Calendar etkinlik başlıkları ve ticari VPS sunucuları üzerinden komuta-kontrol iletişimi kuruyordu. Bu sayede saldırganlar, tek bir kanal kapatılsa bile diğer kanallar üzerinden operasyonu sürdürebiliyordu.

Tam da bu yüzden operasyonun en kritik kısmı eş zamanlı müdahale oldu. CrowdStrike, Google ve Shadowserver Foundation, Glassworm’un dört komuta-kontrol kanalını aynı anda hedef aldı. Böylece enfekte cihazların saldırganlardan yeni talimat veya zararlı yazılım yükü almasının önüne geçildi.

Windows, macOS ve Linux kullanıcıları da etkilenmişti

Glassworm yalnızca belirli bir işletim sistemini hedef almıyordu. Zararlı yazılımın Windows, macOS ve Linux cihazlarda çalışabildiği belirtiliyor. Üstelik yalnızca veri çalmakla kalmıyor; GlasswormRAT adı verilen Node.js tabanlı uzaktan erişim aracıyla saldırganlara enfekte sistemler üzerinde daha geniş kontrol imkânı da sunuyordu.

Bu noktada meselenin neden bu kadar önemli olduğu daha net anlaşılıyor. Yazılımcılar; kaynak kod depolarına, CI/CD sistemlerine, paket yöneticilerine ve bulut platformlarına erişebiliyor. Dolayısıyla tek bir geliştiricinin hesabının ele geçirilmesi, birçok şirketi ve kullanıcıyı etkileyebilecek bir tedarik zinciri saldırısına dönüşebiliyor.

Enfekte sistemler için kontrol edilmesi gereken IP adresi paylaşıldı

CrowdStrike, Glassworm’dan etkilenmiş olabilecek kurumlar için önemli bir gösterge de paylaştı. Şirkete göre Glassworm bulaşmış makineler artık CrowdStrike tarafından kontrol edilen zararsız 164.92.88[.]210 IP adresine bağlantı kuruyor. Kurumların ağ kayıtlarında bu adrese bağlantı olup olmadığını kontrol etmesi öneriliyor.

Bu operasyon, açık kaynak yazılım ekosistemindeki güvenlik risklerini bir kez daha gündeme taşıdı. Çünkü geliştiricilerin her gün kullandığı eklentiler, paketler ve kod depoları; saldırganlar için çok verimli hedeflere dönüşmüş durumda. Glassworm’un çökertilmesi önemli bir adım olsa da bu tarz saldırıların tamamen biteceğini söylemek pek mümkün değil.