Un atac maliciós afecta més de 170,000 usuaris de Top.gg mitjançant una infraestructura falsa de Python
En breu
La comunitat d'usuaris de l'organització GitHub de Top.gg 170,000 va ser atacada per actors maliciosos en un atac a la cadena de subministrament de programari.
La comunitat organitzativa de Top.gg GitHub, formada per més de 170,000 membres, va ser atacada per actors maliciosos en un atac a la cadena de subministrament de programari amb proves que suggereixen una explotació reeixida, afectant diverses víctimes.
El 3 de març, els usuaris van cridar l'atenció de la "sintaxi de l'editor" al xat de Discord de la comunitat sobre activitats sospitoses vinculades al seu compte. "editor-sintaxi" es va sorprendre en descobrir la situació a través de la seva GitHub compte. Es va fer evident que el programari maliciós havia afectat nombroses persones, destacant l'abast i l'impacte de l'atac.
Els actors de l'amenaça van utilitzar diverses tàctiques, tècniques i procediments (TTP) en aquest atac, que incloïa la presa de comptes mitjançant galetes robades del navegador, la inserció de codi maliciós amb confirmacions verificades, l'establiment d'un mirall de Python personalitzat i la càrrega de paquets maliciosos al registre PyPi.
En particular, la infraestructura d'atac incloïa un lloc web dissenyat per imitar una rèplica de paquets de Python, registrat sota el domini "fitxers[.]pypihosted[.]org", el domini dirigit a l'oficial. Pitó mirall, "files.pythonhosted.org", el dipòsit habitual per emmagatzemar fitxers d'artefactes de paquets PyPi. Els actors de l'amenaça també van prendre Colorama, una eina àmpliament utilitzada amb més de 150 milions de descàrregues mensuals, duplicant-la i injectant codi maliciós. Van enfosquir la càrrega útil perjudicial de Colorama utilitzant el farciment espacial i van allotjar aquesta versió alterada al seu mirall fals de domini typosquat. A més, l'abast dels atacants va anar més enllà de la creació de dipòsits maliciosos a través dels seus comptes. Van segrestar comptes de GitHub amb una gran reputació i van utilitzar els recursos associats amb aquests comptes per fer commits maliciosos.
A més de difondre el programari maliciós a través de repositoris GitHub maliciosos, els atacants també van utilitzar un paquet Python maliciós, "yocolor", per distribuir el paquet "colorama" que contenia el programari maliciós. Utilitzant la mateixa tècnica de typosquatting, els mals actors van allotjar el paquet maliciós al domini "fitxers[.]pypihosted[.]org" i van utilitzar un nom idèntic al paquet legítim "colorama".
Mitjançant la manipulació del procés d'instal·lació del paquet i l'explotació de la confiança que els usuaris dipositen a l'ecosistema del paquet Python, l'atacant es va assegurar que el paquet maliciós "colorama" s'instal·lés sempre que s'especifiqui la dependència maliciosa als requisits del projecte. Aquesta tàctica va permetre a l'atacant evitar les sospites i infiltrar-se en els sistemes de desenvolupadors desprevinguts que confiaven en la integritat del sistema d'embalatge de Python.
SlowMist CISO revela l'extensa extracció de dades del programari maliciós d'aplicacions populars
D'acord amb Boira lenta El cap de seguretat de la informació "23pds", el programari maliciós es va dirigir a moltes aplicacions de programari populars, extraient dades sensibles, com ara informació de cartera de criptomoneda, dades de Discord, dades del navegador, sessions de Telegram i molt més.
Conté la llista de carteres de criptocurrency objectiu del robatori del sistema de la víctima, el programari maliciós va buscar directoris vinculats a cada cartera i va intentar extreure fitxers relacionats amb la cartera. Posteriorment, les dades de la cartera robades es van comprimir en fitxers ZIP i es van transmetre al servidor de l'atacant.
El programari maliciós també va intentar robar una aplicació de missatgeria telegram dades de sessió buscant directoris i fitxers vinculats a Telegram. En obtenir accés a les sessions de Telegram, l'atacant podria haver obtingut una entrada no autoritzada al compte i a les comunicacions de Telegram de la víctima.
Aquesta campanya exemplifica les tàctiques sofisticades que fan servir els actors maliciosos per distribuir programari maliciós a través de plataformes de confiança com PyPI i GitHub. El recent incident de Top.gg posa de manifest la importància de la vigilància a l'hora d'instal·lar paquets i repositoris, fins i tot de fonts acreditades.
renúncia
En línia amb la Directrius del projecte Trust, si us plau, tingueu en compte que la informació proporcionada en aquesta pàgina no pretén ni s'ha d'interpretar com a assessorament legal, fiscal, d'inversió, financer o de cap altra forma. És important invertir només el que et pots permetre perdre i buscar assessorament financer independent si tens dubtes. Per obtenir més informació, us suggerim que feu referència als termes i condicions, així com a les pàgines d'ajuda i assistència proporcionades per l'emissor o l'anunciant. MetaversePost es compromet a fer informes precisos i imparcials, però les condicions del mercat estan subjectes a canvis sense previ avís.
About The Autor
Alisa, una periodista dedicada a la MPost, s'especialitza en criptomoneda, proves de coneixement zero, inversions i l'ampli àmbit de Web3. Amb un gran ull per les tendències i tecnologies emergents, ofereix una cobertura completa per informar i implicar els lectors en el panorama en constant evolució de les finances digitals.
més articlesAlisa, una periodista dedicada a la MPost, s'especialitza en criptomoneda, proves de coneixement zero, inversions i l'ampli àmbit de Web3. Amb un gran ull per les tendències i tecnologies emergents, ofereix una cobertura completa per informar i implicar els lectors en el panorama en constant evolució de les finances digitals.