هجوم خبيث يضرب أكثر من 170,000 ألف مستخدم لـ Top.gg من خلال بنية أساسية مزيفة لـ Python
في سطور
تم استهداف مجتمع مستخدمي Top.gg GitHub الذي يضم 170,000 ألف مستخدم من قبل جهات ضارة في هجوم على سلسلة توريد البرامج.
تم استهداف مجتمع منظمة Top.gg GitHub، الذي يضم أكثر من 170,000 عضو، من قبل جهات ضارة في هجوم على سلسلة توريد البرامج مع وجود أدلة تشير إلى استغلال ناجح، مما أثر على العديد من الضحايا.
في الثالث من مارس، لفت المستخدمون انتباه "صيغة المحرر" في دردشة Discord الخاصة بالمجتمع حول الأنشطة المشبوهة المرتبطة بحسابه. صُدم "المحرر النحوي" عندما اكتشف الموقف من خلاله GitHub جيثب: حساب. وأصبح من الواضح أن البرامج الضارة قد أثرت على العديد من الأفراد، مما سلط الضوء على مدى الهجوم وتأثيره.
استخدمت الجهات الفاعلة في التهديد العديد من التكتيكات والتقنيات والإجراءات (TTPs) في هذا الهجوم، والتي تضمنت الاستيلاء على الحساب من خلال ملفات تعريف الارتباط للمتصفح المسروقة، وإدخال تعليمات برمجية ضارة مع التزامات تم التحقق منها، وإنشاء مرآة Python مخصصة، وتحميل الحزم الضارة إلى سجل PyPi.
ومن الجدير بالذكر أن البنية التحتية للهجوم شملت موقعًا على شبكة الإنترنت مصممًا لتقليد مرآة حزمة بايثون، مسجلاً ضمن النطاق "files[.]pypihosted[.]org" - النطاق الذي يستهدف النطاق الرسمي بايثون مرآة، "files.pythonhosted.org"، المستودع المعتاد لتخزين الملفات الأثرية لحزمة PyPi. كما استولى ممثلو التهديد أيضًا على أداة Colorama، وهي أداة مستخدمة على نطاق واسع مع أكثر من 150 مليون عملية تنزيل شهريًا، عن طريق تكرارها وحقن تعليمات برمجية ضارة. لقد قاموا بحجب الحمولة الضارة داخل Colorama باستخدام حشوة المسافة واستضافوا هذه النسخة المعدلة على مرآة المجال المزيفة الخاصة بهم. علاوة على ذلك، تجاوز مدى وصول المهاجمين إلى ما هو أبعد من مجرد إنشاء مستودعات ضارة من خلال حساباتهم. لقد اختطفوا حسابات GitHub ذات السمعة العالية واستخدموا الموارد المرتبطة بهذه الحسابات لارتكاب عمليات ارتكاب ضارة.
بالإضافة إلى نشر البرامج الضارة من خلال مستودعات GitHub الضارة، استخدم المهاجمون أيضًا حزمة Python الضارة، "yocolor"، لتوزيع حزمة "colorama" التي تحتوي على البرامج الضارة. باستخدام نفس تقنية typosquatting، استضافت الجهات الفاعلة السيئة الحزمة الضارة على المجال "files[.]pypihosted[.]org" واستخدمت اسمًا مطابقًا لحزمة "colorama" الشرعية.
ومن خلال التلاعب بعملية تثبيت الحزمة واستغلال ثقة المستخدمين في النظام البيئي لحزمة Python، ضمن المهاجم تثبيت حزمة "colorama" الضارة كلما تم تحديد التبعية الضارة في متطلبات المشروع. سمح هذا التكتيك للمهاجم بتجاوز الشكوك والتسلل إلى أنظمة المطورين المطمئنين الذين اعتمدوا على سلامة نظام التعبئة والتغليف بايثون.
يكشف SlowMist CISO عن إمكانية استخراج بيانات البرامج الضارة بشكل مكثف من التطبيقات الشائعة
وفقًا slowmist كبير مسؤولي أمن المعلومات “23pds”، استهدفت البرمجيات الخبيثة العديد من التطبيقات البرمجية الشهيرة، واستخرجت البيانات الحساسة مثل معلومات محفظة العملة المشفرة، وبيانات Discord، وبيانات المتصفح، وجلسات Telegram، وغيرها.
تحتوي على قائمة محافظ cryptocurrency استهدفت البرامج الضارة السرقة من نظام الضحية، حيث قامت بفحص الأدلة المرتبطة بكل محفظة وحاولت استخراج الملفات المتعلقة بالمحفظة. وبعد ذلك، تم ضغط بيانات المحفظة المسروقة في ملفات ZIP ونقلها إلى خادم المهاجم.
حاولت البرامج الضارة أيضًا سرقة تطبيق المراسلة تیلیجرام بيانات الجلسة عن طريق البحث عن الأدلة والملفات المرتبطة بـ Telegram. من خلال الوصول إلى جلسات Telegram، ربما يكون المهاجم قد حصل على دخول غير مصرح به إلى حساب Telegram الخاص بالضحية واتصالاته.
تجسد هذه الحملة التكتيكات المعقدة التي تستخدمها الجهات الخبيثة لتوزيع البرامج الضارة عبر منصات موثوقة مثل PyPI وGitHub. تسلط حادثة Top.gg الأخيرة الضوء على أهمية اليقظة عند تثبيت الحزم والمستودعات، حتى من المصادر ذات السمعة الطيبة.
إخلاء المسئولية
تتماشى مع المبادئ التوجيهية لمشروع الثقةيرجى ملاحظة أن المعلومات المقدمة في هذه الصفحة ليس المقصود منها ولا ينبغي تفسيرها على أنها نصيحة قانونية أو ضريبية أو استثمارية أو مالية أو أي شكل آخر من أشكال المشورة. من المهم أن تستثمر فقط ما يمكنك تحمل خسارته وأن تطلب مشورة مالية مستقلة إذا كانت لديك أي شكوك. لمزيد من المعلومات، نقترح الرجوع إلى الشروط والأحكام بالإضافة إلى صفحات المساعدة والدعم المقدمة من جهة الإصدار أو المعلن. MetaversePost تلتزم بتقارير دقيقة وغير متحيزة، ولكن ظروف السوق عرضة للتغيير دون إشعار.
نبذة عن الكاتب
أليسا، صحفية متخصصة في MPost، متخصص في العملات المشفرة، وإثباتات المعرفة الصفرية، والاستثمارات، والمجال الواسع من Web3. مع اهتمامها الشديد بالاتجاهات والتقنيات الناشئة، فإنها تقدم تغطية شاملة لإعلام القراء وإشراكهم في المشهد المتطور باستمرار للتمويل الرقمي.
المزيد من المقالاتأليسا، صحفية متخصصة في MPost، متخصص في العملات المشفرة، وإثباتات المعرفة الصفرية، والاستثمارات، والمجال الواسع من Web3. مع اهتمامها الشديد بالاتجاهات والتقنيات الناشئة، فإنها تقدم تغطية شاملة لإعلام القراء وإشراكهم في المشهد المتطور باستمرار للتمويل الرقمي.