Škodlivý útok zasáhl přes 170,000 XNUMX uživatelů Top.gg prostřednictvím falešné infrastruktury Pythonu
Stručně
Top.gg GitHub organizace 170,000 XNUMX uživatelská komunita byla zaměřena zákeřnými aktéry při útoku na dodavatelský řetězec softwaru.
Komunita organizace Top.gg GitHub, zahrnující více než 170,000 XNUMX členů, byla terčem útoků na dodavatelský řetězec softwaru se zlými úmysly s důkazy naznačujícími úspěšné vykořisťování s dopadem na více obětí.
3. března uživatelé upozornili na „syntaxi editora“ na komunitním chatu Discord na podezřelé aktivity spojené s jeho účtem. „editor-syntax“ byl šokován, když objevil situaci prostřednictvím svého GitHub účet. Ukázalo se, že malware zasáhl mnoho jednotlivců, což zdůraznilo rozsah a dopad útoku.
Aktéři hrozeb použili při tomto útoku různé taktiky, techniky a postupy (TTP), které zahrnovaly převzetí účtu prostřednictvím ukradených souborů cookie prohlížeče, vložení škodlivého kódu s ověřenými potvrzeními, vytvoření přizpůsobeného zrcadla Pythonu a nahrání škodlivých balíčků do registru PyPi.
Zejména útočná infrastruktura zahrnovala webovou stránku navrženou tak, aby napodobovala zrcadlo balíku Python, registrovanou pod doménou „files[.]pypihosted[.]org“ – doména zaměřená na oficiální PYTHON mirror, „files.pythonhosted.org“, obvyklé úložiště pro ukládání souborů artefaktů balíčku PyPi. Aktéři hrozby také vzali Colorama, široce používaný nástroj s více než 150 miliony stažení měsíčně, jeho duplikací a vložením škodlivého kódu. Zakryli škodlivý náklad v Coloramě pomocí vesmírného vycpávky a tuto upravenou verzi umístili na své falešné zrcadlo domény s překlepy. Kromě toho dosah útočníků přesahoval vytváření škodlivých úložišť prostřednictvím jejich účtů. Ukradli účty GitHub s vysokou reputací a využili zdroje spojené s těmito účty k provádění škodlivých revizí.
Kromě šíření malwaru prostřednictvím škodlivých úložišť GitHub útočníci také využili škodlivý balíček Python, „yocolor“, k distribuci balíčku „colorama“ obsahujícího malware. Za použití stejné techniky překlepů hostili špatní herci škodlivý balíček na doméně „files[.]pypihosted[.]org“ a použili stejný název jako legitimní balíček „colorama“.
Manipulací s procesem instalace balíčku a využíváním důvěry, kterou uživatelé vkládají do ekosystému balíčků Python, útočník zajistil, že se škodlivý balíček „colorama“ nainstaluje vždy, když bude v požadavcích projektu specifikována škodlivá závislost. Tato taktika umožnila útočníkovi obejít podezření a infiltrovat se do systémů nic netušících vývojářů, kteří spoléhali na integritu balíčkovacího systému Pythonu.
SlowMist CISO odhaluje rozsáhlou extrakci dat malwaru z oblíbených aplikací
Podle Pomalá mlha Chief Information Security Officer „23pds“, malware se zaměřoval na mnoho populárních softwarových aplikací, extrahoval citlivá data, jako jsou informace o kryptoměnových peněženkách, data Discord, data prohlížeče, relace telegramů a další.
Obsahující seznam kryptocurrency peněženky malware zaměřený na krádež ze systému oběti vyhledával adresáře spojené s každou peněženkou a snažil se extrahovat soubory související s peněženkou. Následně byla data odcizené peněženky zkomprimována do souborů ZIP a přenesena na server útočníka.
Malware se také pokusil ukrást aplikaci pro zasílání zpráv Telegram data relace skenováním adresářů a souborů spojených s telegramem. Získáním přístupu k telegramovým relacím mohl útočník získat neoprávněný vstup do telegramového účtu a komunikace oběti.
Tato kampaň je příkladem sofistikované taktiky, kterou útočníci používají k distribuci malwaru prostřednictvím důvěryhodných platforem, jako jsou PyPI a GitHub. Nedávný incident Top.gg zdůrazňuje význam bdělosti při instalaci balíčků a repozitářů, a to i z renomovaných zdrojů.
Odmítnutí odpovědnosti
V souladu s Pokyny k projektu Trust, prosím vezměte na vědomí, že informace uvedené na této stránce nejsou určeny a neměly by být vykládány jako právní, daňové, investiční, finanční nebo jakékoli jiné formy poradenství. Je důležité investovat jen to, co si můžete dovolit ztratit, a v případě pochybností vyhledat nezávislé finanční poradenství. Pro další informace doporučujeme nahlédnout do smluvních podmínek a také na stránky nápovědy a podpory poskytnuté vydavatelem nebo inzerentem. MetaversePost se zavázala poskytovat přesné a nezaujaté zprávy, ale podmínky na trhu se mohou bez upozornění změnit.
O autorovi
Alisa, oddaná novinářka v MPost, se specializuje na kryptoměny, důkazy s nulovými znalostmi, investice a rozsáhlou oblast Web3. S velkým okem pro nové trendy a technologie poskytuje komplexní pokrytí, aby informovala a zapojila čtenáře do neustále se vyvíjejícího prostředí digitálních financí.
Další články
Alisa, oddaná novinářka v MPost, se specializuje na kryptoměny, důkazy s nulovými znalostmi, investice a rozsáhlou oblast Web3. S velkým okem pro nové trendy a technologie poskytuje komplexní pokrytí, aby informovala a zapojila čtenáře do neustále se vyvíjejícího prostředí digitálních financí.
