Ondsindet angreb rammer over 170,000 Top.gg-brugere gennem falsk Python-infrastruktur
Kort sagt
Top.gg GitHub-organisation 170,000 brugerfællesskab blev målrettet af ondsindede aktører i et angreb på softwareforsyningskæden.
Top.gg GitHub-organisationsfællesskabet, der omfatter over 170,000 medlemmer, blev målrettet af ondsindede aktører i et angreb på softwareforsyningskæden med beviser, der tyder på vellykket udnyttelse, der påvirker flere ofre.
Den 3. marts gjorde brugere opmærksom på "editor-syntax" på fællesskabets Discord-chat om mistænkelige aktiviteter knyttet til hans konto. "editor-syntax" var chokeret over at opdage situationen gennem hans GitHub konto. Det blev tydeligt, at malwaren havde påvirket adskillige personer, hvilket fremhævede omfanget og virkningen af angrebet.
Trusselsaktørerne brugte forskellige taktikker, teknikker og procedurer (TTP'er) i dette angreb, som omfattede kontoovertagelse gennem stjålne browsercookies, indsættelse af ondsindet kode med verificerede commits, etablering af et tilpasset Python-spejl og upload af ondsindede pakker til PyPi-registret.
Angrebsinfrastrukturen omfattede især et websted designet til at efterligne et Python-pakkespejl, registreret under domænet "filer[.]pypihosted[.]org" - domænet, der er målrettet mod den officielle Python mirror, "files.pythonhosted.org," det sædvanlige lager til lagring af PyPi-pakkeartefaktfiler. Trusselsaktørerne tog også Colorama, et meget brugt værktøj med over 150 millioner månedlige downloads, ved at duplikere det og injicere ondsindet kode. De tilslørede den skadelige nyttelast i Colorama ved at bruge mellemrumspolstring og hostede denne ændrede version på deres falske domænespejl. Ydermere gik angribernes rækkevidde ud over at skabe ondsindede lagre gennem deres konti. De kaprede GitHub-konti med højt omdømme og brugte ressourcerne forbundet med disse konti til at foretage ondsindede begåelser.
Ud over at sprede malware gennem ondsindede GitHub-depoter, brugte angriberne også en ondsindet Python-pakke, "yocolor", til at distribuere "colorama"-pakken, der indeholder malwaren. Ved at bruge den samme typosquatting-teknik hostede dårlige skuespillere den ondsindede pakke på domænet "files[.]pypihosted[.]org" og brugte et identisk navn til den legitime "colorama"-pakke.
Ved at manipulere pakkeinstallationsprocessen og udnytte den tillid, brugerne har til Python-pakkens økosystem, sikrede angriberen, at den ondsindede "colorama"-pakke ville blive installeret, når den skadelige afhængighed blev specificeret i projektets krav. Denne taktik gjorde det muligt for angriberen at omgå mistanker og infiltrere systemerne hos intetanende udviklere, der stolede på Python-pakkesystemets integritet.
SlowMist CISO afslører Malwares omfattende dataudtræk fra populære applikationer
Ifølge Langsom Mist Chief Information Security Officer "23pds", malwaren var rettet mod mange populære softwareapplikationer og udtrak følsomme data såsom cryptocurrency wallet-oplysninger, Discord-data, browserdata, Telegram-sessioner og mere.
Indeholder listen over cryptocurrency tegnebøger målrettet mod tyveri fra ofrets system, scannede malwaren for mapper knyttet til hver tegnebog og forsøgte at udtrække tegnebogsrelaterede filer. Efterfølgende blev de stjålne tegnebogsdata komprimeret til ZIP-filer og overført til angriberens server.
Malwaren forsøgte også at stjæle beskedapplikationer Telegram sessionsdata ved at scanne for mapper og filer knyttet til Telegram. Ved at få adgang til Telegram-sessioner kan angriberen have fået uautoriseret adgang til ofrets Telegram-konto og kommunikation.
Denne kampagne eksemplificerer den sofistikerede taktik, som ondsindede aktører bruger til at distribuere malware gennem pålidelige platforme som PyPI og GitHub. Den seneste Top.gg-hændelse fremhæver betydningen af årvågenhed ved installation af pakker og lagre, selv fra velrenommerede kilder.
Ansvarsfraskrivelse
I tråd med den Trust Project retningslinjer, bemærk venligst, at oplysningerne på denne side ikke er beregnet til at være og ikke skal fortolkes som juridiske, skattemæssige, investeringsmæssige, finansielle eller nogen anden form for rådgivning. Det er vigtigt kun at investere, hvad du har råd til at tabe, og at søge uafhængig finansiel rådgivning, hvis du er i tvivl. For yderligere information foreslår vi at henvise til vilkårene og betingelserne samt hjælpe- og supportsiderne fra udstederen eller annoncøren. MetaversePost er forpligtet til nøjagtig, objektiv rapportering, men markedsforholdene kan ændres uden varsel.
Om forfatteren
Alisa, en dedikeret journalist ved MPost, har specialiseret sig i kryptovaluta, beviser uden viden, investeringer og den ekspansive verden af Web3. Med et skarpt øje for nye trends og teknologier leverer hun omfattende dækning for at informere og engagere læserne i det stadigt udviklende landskab af digital finans.
Flere artikler
Alisa, en dedikeret journalist ved MPost, har specialiseret sig i kryptovaluta, beviser uden viden, investeringer og den ekspansive verden af Web3. Med et skarpt øje for nye trends og teknologier leverer hun omfattende dækning for at informere og engagere læserne i det stadigt udviklende landskab af digital finans.
