Gemeinsam mit Google und der Nichtregierungsorganisation Shadowserver hat CrowdStrike eine Botnet-Betreibergruppe unterdrückt, die seit zwei Jahren Softwareentwickler im Rahmen von Lieferkettenangriffen targetierte. Diese Operation richtete sich gegen das sogenannte Glassworm-Botnetz, dessen Akteure darauf abzielten, Malware zu verbreiten und Passwörter von Entwicklern offener Software zu stehlen. Laut CrowdStrike nutzen Angreifer zunehmend Entwickler als Einfallstor, anstatt direkt Produkte anzugreifen. Der Kompromittierung einer einzelnen Entwicklerstation kann eine Kettenreaktion auslösen, die Tausende nachgelagerter Organisationen und Endnutzer betrifft, da diese auf vertrauenswürdigen Code von Plattformen wie GitHub angewiesen sind. Das Glassworm-Botnetz setzte verschiedene Methoden ein, um seinen bösartigen Code zu verbreiten. Dazu zählten die Veröffentlichung schädlicher Erweiterungen in Marktplätzen für Entwickler, malvertising, bei dem über bezahlte Suchergebnisse zur Malware-Download verführt wird, sowie die Nutzung gestohlener Anmeldedaten, um Entwicklerkonten zu übernehmen und Malware in den Quellcode zu einschleusen. Insgesamt haben die Angreifer dem Bericht zufolge mehr als 300 GitHub-Repositorys „vergiftet". Die gemeinsame Operation zielte darauf ab, den Zugriff der Hacker auf infizierte Computer zu unterbinden, indem vier von ihnen genutzte Befehls- und Kontrollkanäle abgeschaltet wurden. Diese Server stützten sich auf eine Vielzahl von Infrastrukturen, darunter die Solana-Blockchain, das BitTorrent-Peer-to-Peer-Netzwerk, Google-Kalender und virtuelle Privatserver. Durch die Unterbrechung dieser Kanäle konnten weitere Malware-Ausbreitungen gestoppt werden. Unklar bleibt bisher, auf welcher rechtlichen oder technischen Grundlage CrowdStrike und die Partner diese Eingriffe vorgenommen haben; ein Sprecher des Sicherheitsunternehmens wollte dies nicht kommentieren. Die Unterbrechung der Glassworm-Aktivitäten erfolgt in einer Zeit zunehmender Lieferkettenangriffe auf die Open-Source-Ökosysteme. Vor kurzem wurde beispielsweise eine andere Gruppe, genannt „Mini Shai-Hulud", aktiv, die ebenfalls offene Projekte kompromittierte und dabei einen Entwickler von OpenAI infizierte. Ebenfalls in diesem Jahr ereignete sich im März ein bekannter Angriff, bei dem mutmaßliche Hacker aus Nordkorea das weit verbreitete Entwicklungstool Axios übernahmen. Diese Vorfälle verdeutlichen, wie kritisch der Schutz der Softwareentwicklungsinfrastruktur geworden ist, da ein einziger erfolgreicher Angriff tiefgreifende Auswirkungen auf die digitale Sicherheit zahlloser Organisationen haben kann. Die Koordination zwischen privaten Sicherheitsfirmen, großen Tech-Konzernen und gemeinnützigen Überwachungsorganisationen markiert einen wichtigen Schritt im Kampf gegen diese komplexe Bedrohungslage.