Une attaque malveillante frappe plus de 170,000 XNUMX utilisateurs de Top.gg via une fausse infrastructure Python
En bref
La communauté d'utilisateurs de l'organisation Top.gg GitHub, composée de 170,000 XNUMX personnes, a été ciblée par des acteurs malveillants lors d'une attaque contre la chaîne d'approvisionnement logicielle..
La communauté organisationnelle Top.gg GitHub, comprenant plus de 170,000 XNUMX membres, a été la cible d'acteurs malveillants lors d'une attaque contre la chaîne d'approvisionnement logicielle avec des preuves suggérant une exploitation réussie, impactant plusieurs victimes.
Le 3 mars, des utilisateurs ont signalé à « editor-syntax » sur le chat Discord de la communauté des activités suspectes liées à son compte. "l'éditeur-syntaxe" a été choqué en découvrant la situation grâce à son GitHub compte. Il est devenu évident que le logiciel malveillant avait touché de nombreuses personnes, ce qui met en évidence l'ampleur et l'impact de l'attaque.
Les auteurs de la menace ont utilisé diverses tactiques, techniques et procédures (TTP) dans cette attaque, notamment le piratage de compte via des cookies de navigateur volés, l'insertion de code malveillant avec des validations vérifiées, l'établissement d'un miroir Python personnalisé et le téléchargement de packages malveillants dans le registre PyPi.
L’infrastructure de l’attaque comprenait notamment un site Web conçu pour imiter un miroir de package Python, enregistré sous le domaine « files[.]pypihosted[.]org » – le domaine ciblant le site officiel. Python miroir, « files.pythonhosted.org », le référentiel habituel pour stocker les fichiers d'artefacts du package PyPi. Les auteurs de la menace ont également utilisé Colorama, un outil largement utilisé avec plus de 150 millions de téléchargements mensuels, en le dupliquant et en injectant du code malveillant. Ils ont masqué la charge utile nuisible dans Colorama en utilisant un remplissage spatial et ont hébergé cette version modifiée sur leur faux miroir de domaine typosquatté. De plus, la portée des attaquants allait au-delà de la création de référentiels malveillants via leurs comptes. Ils ont détourné des comptes GitHub jouissant d’une grande réputation et ont utilisé les ressources associées à ces comptes pour effectuer des commits malveillants.
En plus de propager le malware via des référentiels GitHub malveillants, les attaquants ont également utilisé un package Python malveillant, « yocolor », pour distribuer le package « colorama » contenant le malware. En employant la même technique de typosquatting, les acteurs malveillants ont hébergé le package malveillant sur le domaine « files[.]pypihosted[.]org » et ont utilisé un nom identique au package légitime « colorama ».
En manipulant le processus d'installation du package et en exploitant la confiance que les utilisateurs accordent à l'écosystème de packages Python, l'attaquant s'est assuré que le package malveillant « colorama » serait installé chaque fois que la dépendance malveillante était spécifiée dans les exigences du projet. Cette tactique a permis à l'attaquant de contourner les soupçons et d'infiltrer les systèmes de développeurs peu méfiants qui comptaient sur l'intégrité du système de packaging Python.
SlowMist CISO révèle l'extraction étendue de données de logiciels malveillants à partir d'applications populaires
Selon slowmist Responsable de la sécurité des informations « 23pds », le malware ciblait de nombreuses applications logicielles populaires, extrayant des données sensibles telles que des informations sur le portefeuille de crypto-monnaie, des données Discord, des données de navigateur, des sessions Telegram, etc.
Contenant la liste des portefeuilles de crypto-monnaie ciblé pour le vol sur le système de la victime, le logiciel malveillant a recherché les répertoires liés à chaque portefeuille et s'est efforcé d'extraire les fichiers liés au portefeuille. Par la suite, les données du portefeuille volées ont été compressées dans des fichiers ZIP et transmises au serveur de l'attaquant.
Le malware a également tenté de voler une application de messagerie Telegram données de session en recherchant les répertoires et les fichiers liés à Telegram. En accédant aux sessions Telegram, l'attaquant pourrait avoir obtenu un accès non autorisé au compte Telegram et aux communications de la victime.
Cette campagne illustre les tactiques sophistiquées utilisées par les acteurs malveillants pour distribuer des logiciels malveillants via des plateformes fiables telles que PyPI et GitHub. Le récent incident Top.gg souligne l'importance de la vigilance lors de l'installation de packages et de référentiels, même à partir de sources réputées.
Clause de non-responsabilité
En ligne avec la Lignes directrices du projet de confiance, veuillez noter que les informations fournies sur cette page ne sont pas destinées à être et ne doivent pas être interprétées comme des conseils juridiques, fiscaux, d'investissement, financiers ou toute autre forme de conseil. Il est important d’investir uniquement ce que vous pouvez vous permettre de perdre et de demander des conseils financiers indépendants en cas de doute. Pour plus d'informations, nous vous suggérons de vous référer aux conditions générales ainsi qu'aux pages d'aide et de support mises à disposition par l'émetteur ou l'annonceur. MetaversePost s'engage à fournir des rapports précis et impartiaux, mais les conditions du marché sont susceptibles de changer sans préavis.
A propos de l'auteur
Alisa, journaliste dévouée au MPost, se spécialise dans les crypto-monnaies, les preuves sans connaissance, les investissements et le vaste domaine de Web3. Avec un œil attentif sur les tendances et technologies émergentes, elle propose une couverture complète pour informer et impliquer les lecteurs dans le paysage en constante évolution de la finance numérique.
Plus d'articles
Alisa, journaliste dévouée au MPost, se spécialise dans les crypto-monnaies, les preuves sans connaissance, les investissements et le vaste domaine de Web3. Avec un œil attentif sur les tendances et technologies émergentes, elle propose une couverture complète pour informer et impliquer les lecteurs dans le paysage en constante évolution de la finance numérique.
