مارس 26، 2024

حمله مخرب به بیش از 170,000 کاربر Top.gg از طریق زیرساخت جعلی پایتون حمله کرد

by آلیسا دیویدسون

تاریخ انتشار: 26 مارس 2024 ساعت 7:59 بروزرسانی: 26 مارس 2024 ساعت 7:59 ق.ظ.

by آناستازیا او

ویرایش و بررسی شده: 26 مارس 2024، ساعت 7:59 صبح

به طور خلاصه

Top.gg سازمان GitHub جامعه 170,000 کاربر هدف عوامل مخرب در حمله به زنجیره تامین نرم افزار قرار گرفت..

حمله مخرب به بیش از 170,000 کاربر Top.gg از طریق زیرساخت جعلی پایتون حمله کرد

جامعه سازمانی Top.gg GitHub، متشکل از بیش از 170,000 عضو، در حمله ای به زنجیره تامین نرم افزار با شواهد حاکی از بهره برداری موفقیت آمیز، تحت تاثیر قرار دادن چندین قربانی، هدف عوامل مخرب قرار گرفت.

در 3 مارس، کاربران به "ویرایشگر- نحو" در چت Discord جامعه در مورد فعالیت های مشکوک مرتبط با حساب او توجه کردند. "ویراستار- نحو" با کشف این وضعیت از طریق خود شوکه شد GitHub حساب. مشخص شد که این بدافزار افراد متعددی را تحت تأثیر قرار داده است و میزان و تأثیر حمله را برجسته می کند.

بازیگران تهدید از تاکتیک‌ها، تکنیک‌ها و رویه‌های مختلفی در این حمله استفاده کردند که شامل تصاحب حساب از طریق کوکی‌های مرورگر سرقت‌شده، درج کدهای مخرب با ارتکاب‌های تأیید شده، ایجاد یک آینه پایتون سفارشی‌شده و آپلود بسته‌های مخرب در رجیستری PyPi بود.

قابل ذکر است، زیرساخت حمله شامل یک وب سایت طراحی شده برای تقلید از آینه بسته Python است که در دامنه "files[.]pypihosted[.]org ثبت شده است - دامنه ای که سایت رسمی را هدف قرار می دهد. پــایتــون mirror، «files.pythonhosted.org»، مخزن معمولی برای ذخیره فایل‌های مصنوع بسته PyPi. عوامل تهدید همچنین Colorama را که ابزاری پرکاربرد با بیش از 150 میلیون بارگیری ماهانه است، با کپی برداری از آن و تزریق کد مخرب، گرفتند. آنها با استفاده از فضای خالی، محموله مضر داخل کلوراما را پنهان کردند و این نسخه تغییر یافته را در آینه جعلی خود با دامنه تایپی اسکوات میزبانی کردند. علاوه بر این، دسترسی مهاجمان فراتر از ایجاد مخازن مخرب از طریق حساب هایشان بود. آنها حساب های GitHub با شهرت بالا را ربودند و از منابع مرتبط با آن حساب ها برای انجام تعهدات مخرب استفاده کردند.

علاوه بر انتشار بدافزار از طریق مخازن مخرب GitHub، مهاجمان همچنین از یک بسته مخرب پایتون، "yocolor" برای توزیع بسته "colorama" حاوی بدافزار استفاده کردند. با استفاده از تکنیک typosquatting، بازیگران بد بسته مخرب را در دامنه "files[.]pypihosted[.]org" میزبانی کردند و از نامی مشابه با بسته قانونی "colorama" استفاده کردند.

با دستکاری فرآیند نصب بسته و بهره‌برداری از اعتماد کاربران در اکوسیستم بسته پایتون، مهاجم اطمینان حاصل کرد که بسته مخرب "colorama" هر زمان که وابستگی مخرب در الزامات پروژه مشخص شود، نصب می‌شود. این تاکتیک به مهاجم این امکان را می‌دهد تا از سوء ظن عبور کند و به سیستم‌های توسعه‌دهندگان نامطمئن که بر یکپارچگی سیستم بسته‌بندی پایتون تکیه داشتند نفوذ کند.

SlowMist CISO استخراج گسترده داده های بدافزار از برنامه های محبوب را فاش می کند

مطابق با slowmist مدیر ارشد امنیت اطلاعات "23pds"، این بدافزار بسیاری از برنامه های نرم افزاری محبوب را هدف قرار داده و داده های حساسی مانند اطلاعات کیف پول ارزهای دیجیتال، داده های Discord، داده های مرورگر، جلسات تلگرام و غیره را استخراج می کند.

Discord Data: کد به طور خاص Discord را با جستجوی فهرست ها و فایل های مرتبط با Discord هدف قرار می دهد. تلاش می‌کند تا توکن‌های Discord را پیدا کرده و رمزگشایی کند، که می‌تواند برای دسترسی غیرمجاز به حساب Discord قربانی استفاده شود.
— 23pds (@im23pds) مارس 26، 2024

حاوی لیستی از کیف پول cryptocurrency این بدافزار که برای سرقت از سیستم قربانی هدف گذاری شده بود، دایرکتوری های مرتبط با هر کیف پول را اسکن کرد و سعی کرد فایل های مربوط به کیف پول را استخراج کند. متعاقبا، داده های کیف پول سرقت شده در فایل های ZIP فشرده شده و به سرور مهاجم منتقل می شود.

این بدافزار همچنین سعی در سرقت برنامه پیام رسانی داشت تلگرام داده های جلسه با اسکن دایرکتوری ها و فایل های لینک شده به تلگرام. با دسترسی به جلسات تلگرام، مهاجم ممکن است به طور غیرمجاز وارد حساب تلگرام و ارتباطات قربانی شده باشد.

این کمپین نمونه ای از تاکتیک های پیچیده ای است که بازیگران مخرب برای توزیع بدافزار از طریق پلتفرم های قابل اعتمادی مانند PyPI و GitHub استفاده می کنند. رویداد اخیر Top.gg اهمیت هوشیاری هنگام نصب بسته ها و مخازن را حتی از منابع معتبر برجسته می کند.

برچسب ها:

سلب مسئولیت

در خط با دستورالعمل های پروژه اعتماد، لطفاً توجه داشته باشید که اطلاعات ارائه شده در این صفحه به عنوان مشاوره حقوقی، مالیاتی، سرمایه گذاری، مالی یا هر شکل دیگری در نظر گرفته نشده است و نباید تفسیر شود. مهم است که فقط در موردی سرمایه گذاری کنید که توانایی از دست دادن آن را دارید و در صورت شک و تردید به دنبال مشاوره مالی مستقل باشید. برای کسب اطلاعات بیشتر، پیشنهاد می کنیم به شرایط و ضوابط و همچنین صفحات راهنمایی و پشتیبانی ارائه شده توسط صادرکننده یا تبلیغ کننده مراجعه کنید. MetaversePost متعهد به گزارش دقیق و بی طرفانه است، اما شرایط بازار بدون اطلاع قبلی ممکن است تغییر کند.

درباره نویسنده

آلیسا، یک روزنامه نگار اختصاصی در MPostمتخصص در ارزهای دیجیتال، اثبات دانش صفر، سرمایه گذاری و حوزه گسترده Web3. او با نگاهی دقیق به روندها و فناوری‌های نوظهور، پوشش جامعی را برای اطلاع‌رسانی و مشارکت خوانندگان در چشم‌انداز همیشه در حال تحول مالی دیجیتال ارائه می‌کند.

مقالات بیشتر

آلیسا دیویدسون