Böswilliger Angriff trifft über 170,000 Top.gg-Benutzer über gefälschte Python-Infrastruktur
In Kürze
Top.gg Die 170,000 Benutzer umfassende GitHub-Organisation wurde bei einem Angriff auf die Software-Lieferkette von böswilligen Akteuren angegriffen.
Die GitHub-Organisationsgemeinschaft von Top.gg, die über 170,000 Mitglieder umfasst, wurde von böswilligen Akteuren bei einem Angriff auf die Software-Lieferkette angegriffen, wobei Beweise für eine erfolgreiche Ausnutzung vorliegen, die mehrere Opfer betraf.
Am 3. März machten Benutzer „editor-syntax“ im Discord-Chat der Community auf verdächtige Aktivitäten im Zusammenhang mit seinem Konto aufmerksam. „editor-syntax“ war schockiert, als er die Situation durch seine entdeckte GitHub Konto. Es stellte sich heraus, dass zahlreiche Personen von der Malware betroffen waren, was das Ausmaß und die Auswirkungen des Angriffs verdeutlichte.
Die Bedrohungsakteure setzten bei diesem Angriff verschiedene Taktiken, Techniken und Verfahren (TTPs) ein, darunter die Kontoübernahme durch gestohlene Browser-Cookies, das Einfügen von Schadcode mit verifizierten Commits, die Einrichtung eines angepassten Python-Spiegels und das Hochladen von Schadpaketen in die PyPi-Registrierung.
Die Angriffsinfrastruktur umfasste insbesondere eine Website, die einen Python-Paketspiegel nachahmen sollte und unter der Domain „files[.]pypihosted[.]org“ registriert war – der Domain, die auf den Beamten abzielte Python Mirror, „files.pythonhosted.org“, das übliche Repository zum Speichern von PyPi-Paketartefaktdateien. Die Bedrohungsakteure nutzten auch Colorama, ein weit verbreitetes Tool mit über 150 Millionen monatlichen Downloads, indem sie es duplizierten und Schadcode einschleusten. Sie verschleierten die schädliche Nutzlast innerhalb von Colorama durch Leerzeichenauffüllung und hosteten diese veränderte Version auf ihrem Typosquatted-Domain-Fake-Spiegel. Darüber hinaus reichte die Reichweite der Angreifer über die Erstellung bösartiger Repositories über ihre Konten hinaus. Sie kaperten GitHub-Konten mit hohem Ruf und nutzten die mit diesen Konten verbundenen Ressourcen, um böswillige Commits durchzuführen.
Zusätzlich zur Verbreitung der Malware über bösartige GitHub-Repositories nutzten die Angreifer auch ein bösartiges Python-Paket, „yocolor“, um das „colorama“-Paket mit der Malware zu verbreiten. Mit der gleichen Typosquatting-Technik hosteten die Angreifer das bösartige Paket auf der Domäne „files[.]pypihosted[.]org“ und verwendeten einen identischen Namen wie das legitime „colorama“-Paket.
Indem der Angreifer den Paketinstallationsprozess manipulierte und das Vertrauen der Benutzer in das Python-Paketökosystem ausnutzte, stellte er sicher, dass das bösartige „Colorama“-Paket immer dann installiert wurde, wenn die bösartige Abhängigkeit in den Anforderungen des Projekts angegeben war. Diese Taktik ermöglichte es dem Angreifer, Verdachtsmomente zu umgehen und die Systeme ahnungsloser Entwickler zu infiltrieren, die sich auf die Integrität des Python-Paketsystems verließen.
SlowMist CISO enthüllt die umfangreiche Datenextraktion von Malware aus beliebten Anwendungen
Laut slowmist Die Malware, Chief Information Security Officer „23pds“, zielte auf viele gängige Softwareanwendungen ab und extrahierte vertrauliche Daten wie Kryptowährungs-Wallet-Informationen, Discord-Daten, Browserdaten, Telegram-Sitzungen und mehr.
Enthält die Liste von Cryptocurrency Brieftaschen Ziel der Schadsoftware war es, das System des Opfers zu stehlen. Die Malware suchte nach Verzeichnissen, die mit den einzelnen Wallets verknüpft waren, und versuchte, Wallet-bezogene Dateien zu extrahieren. Anschließend wurden die gestohlenen Wallet-Daten in ZIP-Dateien komprimiert und an den Server des Angreifers übermittelt.
Die Malware versuchte auch, die Messaging-Anwendung zu stehlen Telegram Sitzungsdaten durch Scannen nach Verzeichnissen und Dateien, die mit Telegram verknüpft sind. Durch den Zugriff auf Telegram-Sitzungen hat sich der Angreifer möglicherweise unbefugten Zugriff auf das Telegram-Konto und die Kommunikation des Opfers verschafft.
Diese Kampagne veranschaulicht die ausgefeilten Taktiken böswilliger Akteure, um Malware über vertrauenswürdige Plattformen wie PyPI und GitHub zu verbreiten. Der jüngste Top.gg-Vorfall unterstreicht die Bedeutung von Wachsamkeit bei der Installation von Paketen und Repositorys, selbst aus seriösen Quellen.
Haftungsausschluss
Im Einklang mit der Richtlinien des Trust-ProjektsBitte beachten Sie, dass die auf dieser Seite bereitgestellten Informationen nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung gedacht sind und nicht als solche interpretiert werden sollten. Es ist wichtig, nur so viel zu investieren, wie Sie sich leisten können, zu verlieren, und im Zweifelsfall eine unabhängige Finanzberatung einzuholen. Für weitere Informationen empfehlen wir einen Blick auf die Allgemeinen Geschäftsbedingungen sowie die Hilfe- und Supportseiten des Herausgebers oder Werbetreibenden. MetaversePost ist einer genauen, unvoreingenommenen Berichterstattung verpflichtet, die Marktbedingungen können sich jedoch ohne Vorankündigung ändern.
Über den Autor
Alisa, eine engagierte Journalistin bei der MPost, ist auf Kryptowährungen, Zero-Knowledge-Proofs, Investitionen und den weitreichenden Bereich spezialisiert Web3. Mit einem scharfen Blick für neue Trends und Technologien liefert sie eine umfassende Berichterstattung, um die Leser über die sich ständig weiterentwickelnde Landschaft des digitalen Finanzwesens zu informieren und einzubeziehen.
Weitere ArtikelAlisa, eine engagierte Journalistin bei der MPost, ist auf Kryptowährungen, Zero-Knowledge-Proofs, Investitionen und den weitreichenden Bereich spezialisiert Web3. Mit einem scharfen Blick für neue Trends und Technologien liefert sie eine umfassende Berichterstattung, um die Leser über die sich ständig weiterentwickelnde Landschaft des digitalen Finanzwesens zu informieren und einzubeziehen.