Un ataque malicioso afecta a más de 170,000 usuarios de Top.gg a través de una infraestructura falsa de Python
En Resumen
La comunidad de 170,000 usuarios de la organización Top.gg GitHub fue atacada por actores maliciosos en un ataque a la cadena de suministro de software.
La comunidad de organizaciones Top.gg GitHub, compuesta por más de 170,000 miembros, fue atacada por actores maliciosos en un ataque a la cadena de suministro de software con evidencia que sugiere una explotación exitosa, que afectó a múltiples víctimas.
El 3 de marzo, los usuarios llamaron la atención de "editor-syntax" en el chat de Discord de la comunidad sobre actividades sospechosas vinculadas a su cuenta. "editor-sintaxis" se sorprendió al descubrir la situación a través de su GitHub cuenta. Se hizo evidente que el malware había afectado a numerosas personas, lo que pone de relieve el alcance y el impacto del ataque.
Los actores de amenazas emplearon varias tácticas, técnicas y procedimientos (TTP) en este ataque, que incluyeron la apropiación de cuentas mediante cookies de navegador robadas, la inserción de código malicioso con confirmaciones verificadas, el establecimiento de una réplica de Python personalizada y la carga de paquetes maliciosos en el registro de PyPi.
En particular, la infraestructura del ataque abarcó un sitio web diseñado para imitar un paquete espejo de Python, registrado bajo el dominio “files[.]pypihosted[.]org”, el dominio dirigido al servidor oficial. Python mirror, “files.pythonhosted.org”, el repositorio habitual para almacenar archivos de artefactos del paquete PyPi. Los actores de amenazas también tomaron Colorama, una herramienta ampliamente utilizada con más de 150 millones de descargas mensuales, duplicándola e inyectando código malicioso. Ocultaron la carga útil dañina dentro de Colorama mediante el uso de espacio acolchado y alojaron esta versión alterada en su espejo falso de dominio tipográfico. Además, el alcance de los atacantes iba más allá de la creación de repositorios maliciosos a través de sus cuentas. Secuestraron cuentas de GitHub con gran reputación y utilizaron los recursos asociados con esas cuentas para realizar confirmaciones maliciosas.
Además de propagar el malware a través de repositorios maliciosos de GitHub, los atacantes también utilizaron un paquete Python malicioso, "yocolor", para distribuir el paquete "colorama" que contiene el malware. Empleando la misma técnica de typosquatting, los delincuentes alojaron el paquete malicioso en el dominio “files[.]pypihosted[.]org” y utilizaron un nombre idéntico al del paquete legítimo “colorama”.
Al manipular el proceso de instalación del paquete y explotar la confianza que los usuarios depositan en el ecosistema del paquete Python, el atacante se aseguró de que el paquete malicioso "colorama" se instalara siempre que la dependencia maliciosa se especificara en los requisitos del proyecto. Esta táctica permitió al atacante eludir las sospechas e infiltrarse en los sistemas de desarrolladores desprevenidos que confiaban en la integridad del sistema de empaquetado Python.
SlowMist CISO revela la extensa extracción de datos de malware de aplicaciones populares
Según la slowmist Director de Seguridad de la Información “23pds”, el malware se dirigió a muchas aplicaciones de software populares y extrajo datos confidenciales como información de billeteras de criptomonedas, datos de Discord, datos del navegador, sesiones de Telegram y más.
que contiene la lista de carteras de criptomonedas Dirigido al robo del sistema de la víctima, el malware buscó directorios vinculados a cada billetera y trató de extraer archivos relacionados con la billetera. Posteriormente, los datos de la billetera robada se comprimieron en archivos ZIP y se transmitieron al servidor del atacante.
El malware también intentó robar la aplicación de mensajería. Telegram datos de la sesión escaneando directorios y archivos vinculados a Telegram. Al obtener acceso a las sesiones de Telegram, el atacante podría haber obtenido acceso no autorizado a la cuenta y las comunicaciones de Telegram de la víctima.
Esta campaña ejemplifica las tácticas sofisticadas que utilizan los actores maliciosos para distribuir malware a través de plataformas confiables como PyPI y GitHub. El reciente incidente de Top.gg resalta la importancia de la vigilancia al instalar paquetes y repositorios, incluso de fuentes confiables.
Aviso
En línea con la Directrices del Proyecto Confianza, tenga en cuenta que la información proporcionada en esta página no pretende ser ni debe interpretarse como asesoramiento legal, fiscal, de inversión, financiero o de cualquier otro tipo. Es importante invertir sólo lo que pueda permitirse perder y buscar asesoramiento financiero independiente si tiene alguna duda. Para mayor información sugerimos consultar los términos y condiciones así como las páginas de ayuda y soporte proporcionadas por el emisor o anunciante. MetaversePost se compromete a brindar informes precisos e imparciales, pero las condiciones del mercado están sujetas a cambios sin previo aviso.
Sobre el Autor
Alisa, una dedicada periodista del MPost, se especializa en criptomonedas, pruebas de conocimiento cero, inversiones y el amplio ámbito de Web3. Con buen ojo para las tendencias y tecnologías emergentes, ofrece una cobertura completa para informar e involucrar a los lectores en el panorama en constante evolución de las finanzas digitales.
Más artículosAlisa, una dedicada periodista del MPost, se especializa en criptomonedas, pruebas de conocimiento cero, inversiones y el amplio ámbito de Web3. Con buen ojo para las tendencias y tecnologías emergentes, ofrece una cobertura completa para informar e involucrar a los lectores en el panorama en constante evolución de las finanzas digitales.