Haitalliset hyökkäykset iskevät yli 170,000 XNUMX Top.gg-käyttäjään väärennetyn Python-infrastruktuurin kautta
Lyhyesti
Top.gg GitHub -organisaation 170,000 XNUMX käyttäjäyhteisö joutui pahantahtoisten toimijoiden kohteena hyökkäyksessä ohjelmistojen toimitusketjua vastaan.
Top.gg GitHub -organisaatioyhteisö, johon kuuluu yli 170,000 XNUMX jäsentä, joutui pahantahtoisten toimijoiden kohteeksi hyökkäyksessä ohjelmistojen toimitusketjua vastaan, ja siinä oli todisteita onnistuneesta hyväksikäytöstä, joka vaikutti useisiin uhreihin.
Maaliskuun 3. päivänä käyttäjät kiinnittivät yhteisön Discord-chatin "editor-syntaksin" huomion hänen tiliinsä liittyvistä epäilytyksistä. "editori-syntaksi" oli järkyttynyt havaitessaan tilanteen hänen kauttaan GitHub tili. Kävi ilmi, että haittaohjelma oli vaikuttanut useisiin henkilöihin, mikä korosti hyökkäyksen laajuutta ja vaikutusta.
Uhkatoimijat käyttivät tässä hyökkäyksessä erilaisia taktiikoita, tekniikoita ja menettelyjä (TTP), joihin sisältyi tilin haltuunotto ryöstettyjen selainevästeiden avulla, haitallisen koodin lisääminen vahvistetuilla sitoumuksilla, mukautetun Python-peilin luominen ja haittapakettien lataaminen PyPi-rekisteriin.
Hyökkäysinfrastruktuuri sisälsi verkkosivuston, joka oli suunniteltu jäljittelemään Python-pakettipeiliä ja joka oli rekisteröity toimialueelle "files[.]pypihosted[.]org" – toimialueelle, jonka kohteena on virkailija. Python peili, "files.pythonhosted.org", tavallinen arkisto PyPi-pakettien artefaktitiedostoille. Uhkatoimijat ottivat myös Coloraman, laajasti käytetyn työkalun, jolla on yli 150 miljoonaa kuukausittaista latausta, monistamalla sen ja syöttämällä haitallista koodia. He peittivät Coloraman haitallisen hyötykuorman käyttämällä avaruuspehmusteita ja isännöivät tätä muutettua versiota typosquatted-verkkotunnuksen valepeiliinsä. Lisäksi hyökkääjien ulottuvuus ylitti haitallisten tietovarastojen luomisen tiliensä kautta. He kaappasivat hyvämaineisia GitHub-tilejä ja käyttivät näihin tileihin liittyviä resursseja haitallisten sitoumusten tekemiseen.
Sen lisäksi, että hyökkääjät levittivät haittaohjelmia haitallisten GitHub-tietovarastojen kautta, hyökkääjät käyttivät myös haitallista Python-pakettia "yocolor" levittääkseen haittaohjelman sisältävän "colorama"-paketin. Käyttäen samaa kirjoitustekniikkaa, huonot toimijat isännöivät haitallista pakettia verkkotunnuksessa "files[.]pypihosted[.]org" ja käyttivät identtistä nimeä laillisen "colorama"-paketin kanssa.
Manipuloimalla paketin asennusprosessia ja hyödyntämällä käyttäjien Python-pakettien ekosysteemissä antamaa luottamusta hyökkääjä varmisti, että haitallinen "colorama"-paketti asennetaan aina, kun haitallinen riippuvuus määriteltiin projektin vaatimuksissa. Tämä taktiikka antoi hyökkääjälle mahdollisuuden ohittaa epäilykset ja soluttautua aavistamattomien kehittäjien järjestelmiin, jotka luottivat Python-pakkausjärjestelmän eheyteen.
SlowMist CISO paljastaa haittaohjelmien laajan tiedonpoiston suosituista sovelluksista
Mukaan Hidas sumu Chief Information Security Officer "23pds", haittaohjelma kohdistui moniin suosittuihin ohjelmistosovelluksiin ja poimi arkaluontoisia tietoja, kuten kryptovaluuttalompakkotietoja, Discord-tietoja, selaintietoja, Telegram-istuntoja ja paljon muuta.
Sisältää luettelon cryptocurrency-lompakot Kohdennettuna uhrin järjestelmästä varkauksiin, haittaohjelmat etsivät jokaiseen lompakkoon linkitettyjä hakemistoja ja yrittivät purkaa lompakkoon liittyviä tiedostoja. Myöhemmin varastetut lompakkotiedot pakattiin ZIP-tiedostoiksi ja lähetettiin hyökkääjän palvelimelle.
Haittaohjelma yritti myös varastaa viestintäsovelluksen Telegram istuntotiedot skannaamalla Telegramiin linkitettyjä hakemistoja ja tiedostoja. Päästyessään Telegram-istuntoihin hyökkääjä on saattanut päästä luvattomasti uhrin Telegram-tilille ja viestintään.
Tämä kampanja on esimerkki kehittyneistä taktiikoista, joita pahantahtoiset toimijat käyttävät levittääkseen haittaohjelmia luotettujen alustojen, kuten PyPI:n ja GitHubin, kautta. Äskettäinen Top.gg-tapaus korostaa valppauden merkitystä paketteja ja tietovarastoja asennettaessa, jopa hyvämaineisista lähteistä.
Vastuun kieltäminen
Mukaisesti Luottamusprojektin ohjeetHuomaa, että tällä sivulla annettuja tietoja ei ole tarkoitettu eikä niitä tule tulkita oikeudellisiksi, verotukselliseksi, sijoitus-, rahoitus- tai minkään muun muodon neuvoiksi. On tärkeää sijoittaa vain sen verran, mitä sinulla on varaa menettää, ja pyytää riippumatonta talousneuvontaa, jos sinulla on epäilyksiä. Lisätietoja saat käyttöehdoista sekä myöntäjän tai mainostajan tarjoamista ohje- ja tukisivuista. MetaversePost on sitoutunut tarkkaan, puolueettomaan raportointiin, mutta markkinaolosuhteet voivat muuttua ilman erillistä ilmoitusta.
Author
Alisa, omistautunut toimittaja MPost, on erikoistunut kryptovaluuttaan, nollatietotodisteisiin, sijoituksiin ja laajaan Web3. Hän tarkkailee tarkasti nousevia trendejä ja teknologioita, ja hän tarjoaa kattavan kattavuuden tiedottaakseen ja saadakseen lukijat mukaan digitaalisen rahoituksen jatkuvasti kehittyvään maisemaan.
lisää artikkeleita
Alisa, omistautunut toimittaja MPost, on erikoistunut kryptovaluuttaan, nollatietotodisteisiin, sijoituksiin ja laajaan Web3. Hän tarkkailee tarkasti nousevia trendejä ja teknologioita, ja hän tarjoaa kattavan kattavuuden tiedottaakseen ja saadakseen lukijat mukaan digitaalisen rahoituksen jatkuvasti kehittyvään maisemaan.
