Κακόβουλη επίθεση χτυπά πάνω από 170,000 χρήστες Top.gg μέσω Fake Python Infrastructure
Εν συντομία
Top.gg Ο οργανισμός GitHub κοινότητα 170,000 χρηστών έγινε στόχος κακόβουλων παραγόντων σε μια επίθεση στην αλυσίδα εφοδιασμού λογισμικού.
Η κοινότητα του οργανισμού Top.gg GitHub, που αποτελείται από περισσότερα από 170,000 μέλη, έγινε στόχος κακόβουλων παραγόντων σε μια επίθεση στην αλυσίδα εφοδιασμού λογισμικού με στοιχεία που υποδηλώνουν επιτυχή εκμετάλλευση, επηρεάζοντας πολλά θύματα.
Στις 3 Μαρτίου, οι χρήστες επέστησαν την προσοχή του "συντακτικού-συντακτικού" στη συνομιλία Discord της κοινότητας σχετικά με ύποπτες δραστηριότητες που συνδέονται με τον λογαριασμό του. Ο «συντάκτης-σύνταξη» συγκλονίστηκε όταν ανακάλυψε την κατάσταση μέσω του GitHub λογαριασμός. Έγινε προφανές ότι το κακόβουλο λογισμικό είχε επηρεάσει πολλά άτομα, υπογραμμίζοντας την έκταση και τον αντίκτυπο της επίθεσης.
Οι παράγοντες απειλών χρησιμοποίησαν διάφορες Τακτικές, Τεχνικές και Διαδικασίες (TTP) σε αυτήν την επίθεση, οι οποίες περιελάμβαναν την κατάληψη λογαριασμού μέσω παραβιασμένων cookie του προγράμματος περιήγησης, την εισαγωγή κακόβουλου κώδικα με επαληθευμένες δεσμεύσεις, τη δημιουργία ενός προσαρμοσμένου καθρέφτη Python και τη μεταφόρτωση κακόβουλων πακέτων στο μητρώο PyPi.
Συγκεκριμένα, η υποδομή επίθεσης περιελάμβανε έναν ιστότοπο σχεδιασμένο να μιμείται έναν καθρέφτη πακέτου Python, καταχωρισμένο στον τομέα "files[.]pypihosted[.]org" – τον τομέα που στοχεύει τον επίσημο Python mirror, "files.pythonhosted.org", το συνηθισμένο αποθετήριο για την αποθήκευση αρχείων τεχνουργημάτων πακέτων PyPi. Οι ηθοποιοί της απειλής πήραν επίσης το Colorama, ένα ευρέως χρησιμοποιούμενο εργαλείο με πάνω από 150 εκατομμύρια μηνιαίες λήψεις, αντιγράφοντας το και εισάγοντας κακόβουλο κώδικα. Απόκρυψαν το επιβλαβές ωφέλιμο φορτίο μέσα στην Κολοράμα χρησιμοποιώντας το διαστημικό padding και φιλοξένησαν αυτήν την τροποποιημένη έκδοση στον ψεύτικο καθρέφτη τους με τυπογραφικά κατακεκριμένο τομέα. Επιπλέον, η εμβέλεια των εισβολέων ξεπέρασε τη δημιουργία κακόβουλων αποθετηρίων μέσω των λογαριασμών τους. Πήραν λογαριασμούς GitHub με υψηλή φήμη και χρησιμοποίησαν τους πόρους που σχετίζονται με αυτούς τους λογαριασμούς για να κάνουν κακόβουλες δεσμεύσεις.
Εκτός από τη διάδοση του κακόβουλου λογισμικού μέσω κακόβουλων αποθετηρίων GitHub, οι εισβολείς χρησιμοποίησαν επίσης ένα κακόβουλο πακέτο Python, το "yocolor", για να διανείμουν το πακέτο "colorama" που περιέχει το κακόβουλο λογισμικό. Χρησιμοποιώντας την ίδια τεχνική typosquatting, οι κακοί ηθοποιοί φιλοξένησαν το κακόβουλο πακέτο στον τομέα "files[.]pypihosted[.]org" και χρησιμοποίησαν το ίδιο όνομα με το νόμιμο πακέτο "colorama".
Με το χειρισμό της διαδικασίας εγκατάστασης του πακέτου και την εκμετάλλευση της εμπιστοσύνης που τοποθετούν οι χρήστες στο οικοσύστημα του πακέτου Python, ο εισβολέας εξασφάλισε ότι το κακόβουλο πακέτο "colorama" θα εγκατασταθεί όποτε η κακόβουλη εξάρτηση καθοριζόταν στις απαιτήσεις του έργου. Αυτή η τακτική επέτρεψε στον εισβολέα να παρακάμψει τις υποψίες και να διεισδύσει στα συστήματα ανυποψίαστων προγραμματιστών που βασίζονταν στην ακεραιότητα του συστήματος συσκευασίας Python.
Το SlowMist CISO αποκαλύπτει την εκτεταμένη εξαγωγή δεδομένων του κακόβουλου λογισμικού από δημοφιλείς εφαρμογές
Σύμφωνα με Αργή ομίχλη Chief Information Security Officer "23pds", το κακόβουλο λογισμικό στόχευε πολλές δημοφιλείς εφαρμογές λογισμικού, εξάγοντας ευαίσθητα δεδομένα όπως πληροφορίες πορτοφολιού κρυπτονομισμάτων, δεδομένα Discord, δεδομένα προγράμματος περιήγησης, περιόδους λειτουργίας Telegram και πολλά άλλα.
Περιέχει τη λίστα των πορτοφόλια κρυπτογράφησης στοχευμένο για κλοπή από το σύστημα του θύματος, το κακόβουλο λογισμικό σάρωνε για καταλόγους που συνδέονται με κάθε πορτοφόλι και προσπάθησε να εξάγει αρχεία που σχετίζονται με το πορτοφόλι. Στη συνέχεια, τα δεδομένα πορτοφολιού που είχαν κλαπεί συμπιέστηκαν σε αρχεία ZIP και μεταδόθηκαν στον διακομιστή του εισβολέα.
Το κακόβουλο λογισμικό επιχείρησε επίσης να κλέψει την εφαρμογή ανταλλαγής μηνυμάτων Telegram δεδομένα περιόδου λειτουργίας σαρώνοντας καταλόγους και αρχεία που συνδέονται με το Telegram. Με την απόκτηση πρόσβασης στις συνεδρίες του Telegram, ο εισβολέας ενδέχεται να έχει αποκτήσει μη εξουσιοδοτημένη είσοδο στον λογαριασμό Telegram και τις επικοινωνίες του θύματος.
Αυτή η καμπάνια αποτελεί παράδειγμα των εξελιγμένων τακτικών που χρησιμοποιούν οι κακόβουλοι παράγοντες για τη διανομή κακόβουλου λογισμικού μέσω αξιόπιστων πλατφορμών όπως το PyPI και το GitHub. Το πρόσφατο περιστατικό Top.gg υπογραμμίζει τη σημασία της επαγρύπνησης κατά την εγκατάσταση πακέτων και αποθετηρίων, ακόμη και από αξιόπιστες πηγές.
Αποποίηση ευθυνών
Σύμφωνα με το Οδηγίες του έργου Trust, σημειώστε ότι οι πληροφορίες που παρέχονται σε αυτήν τη σελίδα δεν προορίζονται και δεν πρέπει να ερμηνεύονται ως νομικές, φορολογικές, επενδυτικές, χρηματοοικονομικές ή οποιαδήποτε άλλη μορφή συμβουλής. Είναι σημαντικό να επενδύσετε μόνο ό,τι έχετε την πολυτέλεια να χάσετε και να αναζητήσετε ανεξάρτητες οικονομικές συμβουλές εάν έχετε οποιεσδήποτε αμφιβολίες. Για περισσότερες πληροφορίες, προτείνουμε να ανατρέξετε στους όρους και τις προϋποθέσεις, καθώς και στις σελίδες βοήθειας και υποστήριξης που παρέχονται από τον εκδότη ή τον διαφημιστή. MetaversePost δεσμεύεται για ακριβείς, αμερόληπτες αναφορές, αλλά οι συνθήκες της αγοράς υπόκεινται σε αλλαγές χωρίς προειδοποίηση.
Σχετικά με το Συγγραφέας
Alisa, αφοσιωμένη δημοσιογράφος στο MPost, ειδικεύεται στα κρυπτονομίσματα, τις αποδείξεις μηδενικής γνώσης, τις επενδύσεις και την εκτεταμένη σφαίρα Web3. Με έντονο μάτι για τις αναδυόμενες τάσεις και τεχνολογίες, παρέχει ολοκληρωμένη κάλυψη για την ενημέρωση και την εμπλοκή των αναγνωστών στο συνεχώς εξελισσόμενο τοπίο της ψηφιακής χρηματοδότησης.
Περισσότερα άρθραAlisa, αφοσιωμένη δημοσιογράφος στο MPost, ειδικεύεται στα κρυπτονομίσματα, τις αποδείξεις μηδενικής γνώσης, τις επενδύσεις και την εκτεταμένη σφαίρα Web3. Με έντονο μάτι για τις αναδυόμενες τάσεις και τεχνολογίες, παρέχει ολοκληρωμένη κάλυψη για την ενημέρωση και την εμπλοκή των αναγνωστών στο συνεχώς εξελισσόμενο τοπίο της ψηφιακής χρηματοδότησης.