Pahatahtlik rünnak tabab võlts Pythoni infrastruktuuri kaudu üle 170,000 XNUMX Top.gg kasutaja
Põgusalt
Top.gg GitHubi organisatsiooni 170,000 XNUMX kasutajakogukond langes tarkvara tarneahela rünnakus pahatahtlike osalejate sihtmärgiks.
Üle 170,000 XNUMX liikmest koosnev Top.gg GitHubi organisatsioonikogukond sattus pahatahtlike osalejate sihikule tarkvara tarneahela rünnakus, mille tõendid viitasid edukale ärakasutamisele, mõjutades mitmeid ohvreid.
3. märtsil juhtisid kasutajad kogukonna Discordi vestluse „redaktori süntaksi” tähelepanu tema kontoga seotud kahtlaste tegevuste kohta. “toimetaja-süntaks” oli šokeeritud, kui avastas olukorra tema kaudu GitHub konto. Selgus, et pahavara oli mõjutanud paljusid inimesi, mis tõi esile rünnaku ulatuse ja mõju.
Ohutegijad kasutasid selles ründes erinevaid taktikaid, tehnikaid ja protseduure (TTP), mis hõlmasid konto ülevõtmist brauseri varastatud küpsiste kaudu, pahatahtliku koodi sisestamist kontrollitud kohustustega, kohandatud Pythoni peegli loomist ja ründepakettide PyPi registrisse üleslaadimist.
Eelkõige hõlmas ründeinfrastruktuur veebisaiti, mis oli loodud Pythoni paketipeeglit jäljendama ja mis on registreeritud domeeni "failid[.]pypihosted[.]org" all – ametnikule suunatud domeen. Python peegel, "files.pythonhosted.org", tavaline hoidla PyPi paketi artefaktifailide salvestamiseks. Ohutegijad võtsid endale ka Colorama, laialdaselt kasutatava tööriista, mida laaditakse alla üle 150 miljoni kuus, dubleerides selle ja süstides pahatahtlikku koodi. Nad varjasid Colorama kahjuliku kasuliku koormuse, kasutades ruumi polsterdust, ja hostisid selle muudetud versiooni oma trükitud domeeniga võltspeeglis. Lisaks ületas ründajate haardeulatus nende kontode kaudu pahatahtlike hoidlate loomisest. Nad kaaperdasid kõrge mainega GitHubi kontod ja kasutasid nende kontodega seotud ressursse pahatahtlike kohustuste tegemiseks.
Lisaks pahavara levitamisele pahatahtlike GitHubi hoidlate kaudu kasutasid ründajad pahavara sisaldava paketi Colorama levitamiseks ka ründevara Pythoni paketti "yocolor". Kasutades sama trükitehnikat, hostisid pahatahtlikud osalejad pahatahtlikku paketti domeenis „files[.]pypihosted[.]org“ ja kasutasid seadusliku „colorama“ paketiga identset nime.
Manipuleerides paketi installiprotsessi ja kasutades ära kasutajate usaldust Pythoni paketi ökosüsteemis, tagas ründaja, et pahatahtlik "colorama" pakett installitakse alati, kui pahatahtlik sõltuvus on projekti nõuetes määratletud. See taktika võimaldas ründajal kahtlustest mööda hiilida ja tungida pahaaimamatute arendajate süsteemidesse, kes toetusid Pythoni pakkimissüsteemi terviklikkusele.
SlowMist CISO paljastab pahavara ulatusliku andmete ekstraheerimise populaarsetest rakendustest
Järgi Aeglane udu Infoturbe peadirektor “23pds”, pahavara sihtis paljusid populaarseid tarkvararakendusi, eraldades tundlikke andmeid, nagu krüptovaluuta rahakoti teave, Discordi andmed, brauseri andmed, telegrami seansid ja palju muud.
Sisaldab nimekirja krüptovaluuta rahakotid Ohvri süsteemist varguste vastu suunatud pahavara otsis iga rahakotiga seotud katalooge ja püüdis rahakotiga seotud faile välja tõmmata. Seejärel tihendati varastatud rahakoti andmed ZIP-failideks ja edastati ründaja serverisse.
Pahavara üritas varastada ka sõnumsiderakendust Telegramm seansi andmed, skannides Telegramiga lingitud katalooge ja faile. Telegrami seanssidele juurdepääsu saades võis ründaja pääseda lubamatult ohvri Telegrami kontole ja suhtlusele.
See kampaania illustreerib keerukat taktikat, mida pahatahtlikud osalejad kasutavad pahavara levitamiseks selliste usaldusväärsete platvormide kaudu nagu PyPI ja GitHub. Hiljutine Top.gg juhtum toob esile valvsuse olulisuse pakettide ja hoidlate installimisel isegi usaldusväärsetest allikatest.
Kaebused
Vastavalt Usaldusprojekti juhised, pange tähele, et sellel lehel esitatud teave ei ole mõeldud ega tohiks tõlgendada kui juriidilist, maksu-, investeerimis-, finants- või muud nõuannet. Oluline on investeerida ainult seda, mida saate endale lubada kaotada, ja kahtluste korral küsida sõltumatut finantsnõu. Lisateabe saamiseks soovitame vaadata nõudeid ja tingimusi ning väljaandja või reklaamija pakutavaid abi- ja tugilehti. MetaversePost on pühendunud täpsele ja erapooletule aruandlusele, kuid turutingimusi võidakse ette teatamata muuta.
Umbes Autor
Alisa, pühendunud ajakirjanik MPost, on spetsialiseerunud krüptovaluutadele, nullteadmiste tõenditele, investeeringutele ja laiaulatuslikule valdkonnale Web3. Tekkivaid suundumusi ja tehnoloogiaid tähelepanelikult jälgides pakub ta igakülgset ülevaadet, et teavitada lugejaid ja kaasata neid pidevalt arenevale digitaalse rahanduse maastikule.
Veel artikleidAlisa, pühendunud ajakirjanik MPost, on spetsialiseerunud krüptovaluutadele, nullteadmiste tõenditele, investeeringutele ja laiaulatuslikule valdkonnale Web3. Tekkivaid suundumusi ja tehnoloogiaid tähelepanelikult jälgides pakub ta igakülgset ülevaadet, et teavitada lugejaid ja kaasata neid pidevalt arenevale digitaalse rahanduse maastikule.