Zərərli hücum saxta Python infrastrukturu vasitəsilə 170,000-dən çox Top.gg istifadəçisini vurdu
Qısaca
Top.gg GitHub təşkilatı 170,000 istifadəçi icması proqram təminatının təchizat zəncirinə hücum zamanı zərərli aktyorların hədəfinə çevrildi..
170,000-dən çox üzvdən ibarət Top.gg GitHub təşkilat icması proqram təminatının tədarük zəncirinə hücumda zərərli aktyorların hədəfinə çevrildi və uğurlu istismarı sübut edən sübutlarla çoxsaylı qurbanlara təsir etdi.
Martın 3-də istifadəçilər icmanın Discord çatında onun hesabı ilə əlaqəli şübhəli fəaliyyətlər barədə “redaktor-sintaksis”in diqqətinə çatdırdılar. “redaktor-sintaksis” onun vasitəsilə vəziyyəti aşkar edəndə şoka düşdü Github hesab. Zərərli proqramın hücumun miqyasını və təsirini vurğulayaraq, çoxsaylı şəxslərə təsir etdiyi məlum oldu.
Təhdid iştirakçıları bu hücumda müxtəlif Taktikalar, Texnikalar və Prosedurlardan (TTP) istifadə etmişlər ki, bunlara oğurlanmış brauzer kukiləri vasitəsilə hesabın ələ keçirilməsi, təsdiqlənmiş öhdəliklərlə zərərli kodun daxil edilməsi, fərdiləşdirilmiş Python güzgüsünün yaradılması və zərərli paketlərin PyPi reyestrinə yüklənməsi daxildir.
Qeyd edək ki, hücum infrastrukturu “fayllar[.]pypihosted[.]org” domeni altında qeydiyyatdan keçmiş Python paket güzgüsünü təqlid etmək üçün hazırlanmış veb-saytı əhatə edirdi – rəsmi şəxsi hədəf alan domen. Python güzgü, "files.pythonhosted.org", PyPi paket artefakt fayllarını saxlamaq üçün adi depo. Təhdid iştirakçıları, ayda 150 milyondan çox yükləmə ilə geniş istifadə olunan bir alət olan Colorama-nı da dublyaj edərək və zərərli kodu yeritməklə götürdülər. Kosmos doldurucularından istifadə edərək Kolorama daxilində zərərli yükü gizlətdilər və bu dəyişdirilmiş versiyanı öz yazı tipli domen saxta güzgülərində yerləşdirdilər. Bundan əlavə, təcavüzkarların əhatə dairəsi hesabları vasitəsilə zərərli anbarlar yaratmaqdan kənara çıxdı. Onlar yüksək reputasiyaya malik GitHub hesablarını ələ keçirdilər və zərərli öhdəliklər etmək üçün həmin hesablarla əlaqəli resurslardan istifadə etdilər.
Zərərli proqramı zərərli GitHub repozitoriyaları vasitəsilə yaymaqla yanaşı, təcavüzkarlar zərərli proqramı ehtiva edən “colorama” paketini yaymaq üçün “yocolor” zərərli Python paketindən də istifadə ediblər. Eyni mətbəə yazma texnikasından istifadə edərək, pis aktyorlar zərərli paketi “files[.]pypihosted[.]org” domenində yerləşdirdilər və qanuni “colorama” paketinə eyni addan istifadə etdilər.
Paketin quraşdırılması prosesini manipulyasiya etməklə və istifadəçilərin Python paket ekosistemində yerləşdirdiyi etibardan istifadə etməklə, təcavüzkar layihənin tələblərində zərərli asılılıq göstərildiyi zaman zərərli “colorama” paketinin quraşdırılmasını təmin edib. Bu taktika təcavüzkarın şübhələrdən yan keçməsinə və Python qablaşdırma sisteminin bütövlüyünə arxalanan şübhəsiz tərtibatçıların sistemlərinə nüfuz etməsinə imkan verdi.
SlowMist CISO Zərərli Proqramın Populyar Tətbiqlərdən Geniş Məlumat Çıxarmasını aşkar edir
Uyğun olaraq SlowMist Baş İnformasiya Təhlükəsizliyi Mütəxəssisi “23pds” zərərli proqram kriptovalyuta pul kisəsi məlumatları, Discord məlumatları, brauzer məlumatları, Telegram sessiyaları və s.
Siyahısını ehtiva edir cryptocurrency cüzdanları qurbanın sistemindən oğurluq üçün hədəflənmiş zərərli proqram hər bir pul kisəsi ilə əlaqəli kataloqları skan etdi və pul kisəsi ilə əlaqəli faylları çıxarmağa çalışdı. Sonradan oğurlanmış pul kisəsi məlumatları ZIP fayllarına sıxışdırılıb və təcavüzkarın serverinə ötürülüb.
Zərərli proqram həmçinin mesajlaşma proqramını oğurlamağa cəhd edib Teleqram Telegram ilə əlaqəli qovluqları və faylları skan edərək sessiya məlumatları. Telegram seanslarına giriş əldə etməklə, təcavüzkar qurbanın Telegram hesabına və kommunikasiyalarına icazəsiz giriş əldə etmiş ola bilər.
Bu kampaniya pis niyyətli aktyorların PyPI və GitHub kimi etibarlı platformalar vasitəsilə zərərli proqramları yaymaq üçün istifadə etdikləri mürəkkəb taktikaları nümunə göstərir. Son Top.gg hadisəsi hətta nüfuzlu mənbələrdən də paketlər və depolar quraşdırarkən sayıqlığın vacibliyini vurğulayır.
Məsuliyyətdən imtina
uyğun olaraq Güvən Layihəsi qaydaları, lütfən nəzərə alın ki, bu səhifədə təqdim olunan məlumat hüquqi, vergi, investisiya, maliyyə və ya hər hansı digər məsləhət forması kimi təfsir edilməməlidir və təfsir edilməməlidir. Yalnız itirə biləcəyiniz şeyə investisiya qoymaq və hər hansı bir şübhəniz varsa, müstəqil maliyyə məsləhətləri axtarmaq vacibdir. Əlavə məlumat üçün biz emitent və ya reklamçı tərəfindən təmin edilən şərtlər və şərtlərə, həmçinin yardım və dəstək səhifələrinə müraciət etməyi təklif edirik. MetaversePost dəqiq, qərəzsiz hesabat verməyə sadiqdir, lakin bazar şərtləri xəbərdarlıq edilmədən dəyişdirilə bilər.
Müəllif haqqında
Alisa, xüsusi jurnalist MPost, kriptovalyuta, sıfır bilik sübutları, investisiyalar və geniş səltənət sahəsində ixtisaslaşmışdır. Web3. Yaranan tendensiyaları və texnologiyaları diqqətlə izləyərək, o, oxucuları məlumatlandırmaq və rəqəmsal maliyyənin daim inkişaf edən mənzərəsinə cəlb etmək üçün hərtərəfli əhatə dairəsi təqdim edir.
Ətraflı məqalələr
Alisa, xüsusi jurnalist MPost, kriptovalyuta, sıfır bilik sübutları, investisiyalar və geniş səltənət sahəsində ixtisaslaşmışdır. Web3. Yaranan tendensiyaları və texnologiyaları diqqətlə izləyərək, o, oxucuları məlumatlandırmaq və rəqəmsal maliyyənin daim inkişaf edən mənzərəsinə cəlb etmək üçün hərtərəfli əhatə dairəsi təqdim edir.
