Злонамерена атака удря над 170,000 XNUMX потребители на Top.gg чрез фалшива Python инфраструктура
Накратко
Top.gg GitHub организация 170,000 XNUMX потребителска общност беше атакувана от злонамерени участници в атака срещу веригата за доставки на софтуер.
Организационната общност на Top.gg GitHub, включваща над 170,000 XNUMX членове, беше атакувана от злонамерени участници в атака срещу веригата за доставки на софтуер с доказателства, предполагащи успешно използване, засягащо множество жертви.
На 3 март потребителите обърнаха внимание на „редактор-синтаксис“ в чата на общността в Discord за подозрителни дейности, свързани с неговия акаунт. „редактор-синтаксис“ беше шокиран, когато откри ситуацията чрез своя GitHub сметка. Стана ясно, че злонамереният софтуер е засегнал много хора, подчертавайки степента и въздействието на атаката.
Актьорите на заплахата са използвали различни тактики, техники и процедури (TTP) в тази атака, която включва превземане на акаунт чрез откраднати бисквитки на браузъра, вмъкване на злонамерен код с проверени ангажименти, създаване на персонализирано огледало на Python и качване на злонамерени пакети в регистъра на PyPi.
Трябва да се отбележи, че инфраструктурата за атака обхваща уебсайт, предназначен да имитира огледален пакет на Python, регистриран под домейна „files[.]pypihosted[.]org“ – домейнът, насочен към официалния Питон огледало, „files.pythonhosted.org“, обичайното хранилище за съхраняване на файлове с артефакти на пакет PyPi. Актьорите на заплахата също взеха Colorama, широко използван инструмент с над 150 милиона изтегляния месечно, като го дублираха и инжектираха зловреден код. Те скриха вредния полезен товар в рамките на Colorama, като използваха подложка за пространство и хостваха тази променена версия на тяхното фалшиво огледало с typosquatted домейн. Освен това обхватът на нападателите надхвърли създаването на злонамерени хранилища чрез техните акаунти. Те откраднаха GitHub акаунти с висока репутация и използваха ресурсите, свързани с тези акаунти, за да направят злонамерени ангажименти.
В допълнение към разпространението на злонамерения софтуер чрез злонамерени хранилища на GitHub, нападателите също са използвали злонамерен пакет на Python, „yocolor“, за да разпространят пакета „colorama“, съдържащ зловредния софтуер. Използвайки същата техника на typosquatting, лошите актьори хостваха злонамерения пакет в домейна „files[.]pypihosted[.]org“ и използваха идентично име с легитимния пакет „colorama“.
Чрез манипулиране на процеса на инсталиране на пакета и използване на доверието, което потребителите имат в екосистемата на пакета на Python, нападателят гарантира, че злонамереният пакет „colorama“ ще бъде инсталиран винаги, когато злонамерената зависимост е посочена в изискванията на проекта. Тази тактика позволи на нападателя да заобиколи подозренията и да проникне в системите на нищо неподозиращи разработчици, които разчитаха на целостта на системата за опаковане на Python.
SlowMist CISO разкрива мащабното извличане на данни със зловреден софтуер от популярни приложения
Според Бавна мъгла Главен служител по сигурността на информацията „23pds“, зловредният софтуер е насочен към много популярни софтуерни приложения, извличайки чувствителни данни като информация за портфейла на криптовалута, данни на Discord, данни на браузъра, сесии на Telegram и др.
Съдържащи списъка на портфейли за криптовалута насочен за кражба от системата на жертвата, зловредният софтуер сканира за директории, свързани с всеки портфейл, и се опитва да извлече файлове, свързани с портфейла. Впоследствие откраднатите данни от портфейла бяха компресирани в ZIP файлове и предадени на сървъра на нападателя.
Зловреден софтуер също така се опита да открадне приложението за съобщения Telegram данни от сесията чрез сканиране за директории и файлове, свързани с Telegram. Получавайки достъп до сесиите на Telegram, нападателят може да е получил неоторизиран достъп до акаунта и комуникациите на жертвата в Telegram.
Тази кампания илюстрира сложната тактика, която злонамерените участници използват за разпространение на зловреден софтуер чрез надеждни платформи като PyPI и GitHub. Неотдавнашният инцидент с Top.gg подчертава значението на бдителността при инсталиране на пакети и хранилища, дори от реномирани източници.
Отказ от отговорност
В съответствие с Доверете се насоките на проекта, моля, имайте предвид, че предоставената на тази страница информация не е предназначена да бъде и не трябва да се тълкува като правен, данъчен, инвестиционен, финансов или каквато и да е друга форма на съвет. Важно е да инвестирате само това, което можете да си позволите да загубите, и да потърсите независим финансов съвет, ако имате някакви съмнения. За допълнителна информация предлагаме да се обърнете към правилата и условията, както и към страниците за помощ и поддръжка, предоставени от издателя или рекламодателя. MetaversePost се ангажира с точно, безпристрастно отчитане, но пазарните условия подлежат на промяна без предизвестие.
За автора
Алиса, всеотдаен журналист в MPost, специализира в криптовалута, доказателства с нулево знание, инвестиции и обширната сфера на Web3. С остър поглед към нововъзникващите тенденции и технологии, тя предоставя изчерпателно покритие, за да информира и ангажира читателите в непрекъснато развиващия се пейзаж на дигиталните финанси.
Още статии
Алиса, всеотдаен журналист в MPost, специализира в криптовалута, доказателства с нулево знание, инвестиции и обширната сфера на Web3. С остър поглед към нововъзникващите тенденции и технологии, тя предоставя изчерпателно покритие, за да информира и ангажира читателите в непрекъснато развиващия се пейзаж на дигиталните финанси.
