حمله مخرب به بیش از 170,000 کاربر Top.gg از طریق زیرساخت جعلی پایتون حمله کرد
به طور خلاصه
Top.gg سازمان GitHub جامعه 170,000 کاربر هدف عوامل مخرب در حمله به زنجیره تامین نرم افزار قرار گرفت..
جامعه سازمانی Top.gg GitHub، متشکل از بیش از 170,000 عضو، در حمله ای به زنجیره تامین نرم افزار با شواهد حاکی از بهره برداری موفقیت آمیز، تحت تاثیر قرار دادن چندین قربانی، هدف عوامل مخرب قرار گرفت.
در 3 مارس، کاربران به "ویرایشگر- نحو" در چت Discord جامعه در مورد فعالیت های مشکوک مرتبط با حساب او توجه کردند. "ویراستار- نحو" با کشف این وضعیت از طریق خود شوکه شد GitHub حساب. مشخص شد که این بدافزار افراد متعددی را تحت تأثیر قرار داده است و میزان و تأثیر حمله را برجسته می کند.
بازیگران تهدید از تاکتیکها، تکنیکها و رویههای مختلفی در این حمله استفاده کردند که شامل تصاحب حساب از طریق کوکیهای مرورگر سرقتشده، درج کدهای مخرب با ارتکابهای تأیید شده، ایجاد یک آینه پایتون سفارشیشده و آپلود بستههای مخرب در رجیستری PyPi بود.
قابل ذکر است، زیرساخت حمله شامل یک وب سایت طراحی شده برای تقلید از آینه بسته Python است که در دامنه "files[.]pypihosted[.]org ثبت شده است - دامنه ای که سایت رسمی را هدف قرار می دهد. پــایتــون mirror، «files.pythonhosted.org»، مخزن معمولی برای ذخیره فایلهای مصنوع بسته PyPi. عوامل تهدید همچنین Colorama را که ابزاری پرکاربرد با بیش از 150 میلیون بارگیری ماهانه است، با کپی برداری از آن و تزریق کد مخرب، گرفتند. آنها با استفاده از فضای خالی، محموله مضر داخل کلوراما را پنهان کردند و این نسخه تغییر یافته را در آینه جعلی خود با دامنه تایپی اسکوات میزبانی کردند. علاوه بر این، دسترسی مهاجمان فراتر از ایجاد مخازن مخرب از طریق حساب هایشان بود. آنها حساب های GitHub با شهرت بالا را ربودند و از منابع مرتبط با آن حساب ها برای انجام تعهدات مخرب استفاده کردند.
علاوه بر انتشار بدافزار از طریق مخازن مخرب GitHub، مهاجمان همچنین از یک بسته مخرب پایتون، "yocolor" برای توزیع بسته "colorama" حاوی بدافزار استفاده کردند. با استفاده از تکنیک typosquatting، بازیگران بد بسته مخرب را در دامنه "files[.]pypihosted[.]org" میزبانی کردند و از نامی مشابه با بسته قانونی "colorama" استفاده کردند.
با دستکاری فرآیند نصب بسته و بهرهبرداری از اعتماد کاربران در اکوسیستم بسته پایتون، مهاجم اطمینان حاصل کرد که بسته مخرب "colorama" هر زمان که وابستگی مخرب در الزامات پروژه مشخص شود، نصب میشود. این تاکتیک به مهاجم این امکان را میدهد تا از سوء ظن عبور کند و به سیستمهای توسعهدهندگان نامطمئن که بر یکپارچگی سیستم بستهبندی پایتون تکیه داشتند نفوذ کند.
SlowMist CISO استخراج گسترده داده های بدافزار از برنامه های محبوب را فاش می کند
مطابق با slowmist مدیر ارشد امنیت اطلاعات "23pds"، این بدافزار بسیاری از برنامه های نرم افزاری محبوب را هدف قرار داده و داده های حساسی مانند اطلاعات کیف پول ارزهای دیجیتال، داده های Discord، داده های مرورگر، جلسات تلگرام و غیره را استخراج می کند.
حاوی لیستی از کیف پول cryptocurrency این بدافزار که برای سرقت از سیستم قربانی هدف گذاری شده بود، دایرکتوری های مرتبط با هر کیف پول را اسکن کرد و سعی کرد فایل های مربوط به کیف پول را استخراج کند. متعاقبا، داده های کیف پول سرقت شده در فایل های ZIP فشرده شده و به سرور مهاجم منتقل می شود.
این بدافزار همچنین سعی در سرقت برنامه پیام رسانی داشت تلگرام داده های جلسه با اسکن دایرکتوری ها و فایل های لینک شده به تلگرام. با دسترسی به جلسات تلگرام، مهاجم ممکن است به طور غیرمجاز وارد حساب تلگرام و ارتباطات قربانی شده باشد.
این کمپین نمونه ای از تاکتیک های پیچیده ای است که بازیگران مخرب برای توزیع بدافزار از طریق پلتفرم های قابل اعتمادی مانند PyPI و GitHub استفاده می کنند. رویداد اخیر Top.gg اهمیت هوشیاری هنگام نصب بسته ها و مخازن را حتی از منابع معتبر برجسته می کند.
سلب مسئولیت
در خط با دستورالعمل های پروژه اعتماد، لطفاً توجه داشته باشید که اطلاعات ارائه شده در این صفحه به عنوان مشاوره حقوقی، مالیاتی، سرمایه گذاری، مالی یا هر شکل دیگری در نظر گرفته نشده است و نباید تفسیر شود. مهم است که فقط در موردی سرمایه گذاری کنید که توانایی از دست دادن آن را دارید و در صورت شک و تردید به دنبال مشاوره مالی مستقل باشید. برای کسب اطلاعات بیشتر، پیشنهاد می کنیم به شرایط و ضوابط و همچنین صفحات راهنمایی و پشتیبانی ارائه شده توسط صادرکننده یا تبلیغ کننده مراجعه کنید. MetaversePost متعهد به گزارش دقیق و بی طرفانه است، اما شرایط بازار بدون اطلاع قبلی ممکن است تغییر کند.
درباره نویسنده
آلیسا، یک روزنامه نگار اختصاصی در MPostمتخصص در ارزهای دیجیتال، اثبات دانش صفر، سرمایه گذاری و حوزه گسترده Web3. او با نگاهی دقیق به روندها و فناوریهای نوظهور، پوشش جامعی را برای اطلاعرسانی و مشارکت خوانندگان در چشمانداز همیشه در حال تحول مالی دیجیتال ارائه میکند.
مقالات بیشترآلیسا، یک روزنامه نگار اختصاصی در MPostمتخصص در ارزهای دیجیتال، اثبات دانش صفر، سرمایه گذاری و حوزه گسترده Web3. او با نگاهی دقیق به روندها و فناوریهای نوظهور، پوشش جامعی را برای اطلاعرسانی و مشارکت خوانندگان در چشمانداز همیشه در حال تحول مالی دیجیتال ارائه میکند.