Zlonamjerni napad pogađa preko 170,000 XNUMX korisnika Top.gg putem lažne Python infrastrukture
Ukratko
Top.gg GitHub organizacija zajednica od 170,000 korisnika bila je meta zlonamjernih aktera u napadu na lanac nabave softvera.
Organizacijska zajednica Top.gg GitHub, koja se sastoji od više od 170,000 članova, bila je meta zlonamjernih aktera u napadu na lanac opskrbe softverom s dokazima koji sugeriraju uspješno iskorištavanje, utječući na više žrtava.
Dana 3. ožujka, korisnici su skrenuli pozornost "uredniku-sintaksi" na Discord chatu zajednice o sumnjivim aktivnostima povezanim s njegovim računom. “urednik-sintaksa” bio je šokiran otkrivši situaciju kroz svoj GitHub račun. Postalo je očito da je zlonamjerni softver utjecao na brojne pojedince, naglašavajući opseg i učinak napada.
Akteri prijetnje koristili su različite taktike, tehnike i procedure (TTP) u ovom napadu, koji je uključivao preuzimanje računa putem ukradenih kolačića preglednika, umetanje zlonamjernog koda s provjerenim obvezama, uspostavljanje prilagođenog Python zrcala i učitavanje zlonamjernih paketa u PyPi registar.
Primjetno je da je infrastruktura napada obuhvaćala web-mjesto dizajnirano da oponaša zrcaljenje paketa Python, registrirano pod domenom "files[.]pypihosted[.]org"—domenom koja cilja službenu Piton ogledalo, “files.pythonhosted.org”, uobičajeno spremište za pohranu datoteka artefakata paketa PyPi. Akteri prijetnje također su preuzeli Coloramu, naširoko korišteni alat s više od 150 milijuna preuzimanja mjesečno, dupliciranjem i ubacivanjem zlonamjernog koda. Sakrili su štetni teret unutar Colorame korištenjem razmaka i ugostili ovu izmijenjenu verziju na svom lažnom zrcalu typosquatted domene. Nadalje, doseg napadača išao je dalje od stvaranja zlonamjernih spremišta putem njihovih računa. Oteli su GitHub račune s visokom reputacijom i iskoristili resurse povezane s tim računima za zlonamjerne obveze.
Osim širenja zlonamjernog softvera putem zlonamjernih GitHub repozitorija, napadači su također koristili zlonamjerni Python paket, "yocolor", za distribuciju paketa "colorama" koji sadrži zlonamjerni softver. Koristeći istu tehniku typosquattinga, loši su akteri zlonamjerni paket ugostili na domeni "files[.]pypihosted[.]org" i koristili identično ime legitimnom paketu "colorama".
Manipulirajući postupkom instalacije paketa i iskorištavajući povjerenje koje korisnici imaju u ekosustavu paketa Python, napadač je osigurao instaliranje zlonamjernog paketa "colorama" kad god je zlonamjerna ovisnost navedena u zahtjevima projekta. Ova je taktika omogućila napadaču da zaobiđe sumnje i infiltrira se u sustave nesumnjivih programera koji su se oslanjali na integritet Python sustava za pakiranje.
SlowMist CISO otkriva zlonamjerno izvlačenje podataka iz popularnih aplikacija
Prema Spora magla Chief Information Security Officer “23pds”, zlonamjerni softver ciljao je mnoge popularne softverske aplikacije, izvlačeći osjetljive podatke kao što su informacije o novčaniku kriptovalute, podaci Discorda, podaci preglednika, sesije Telegrama i više.
Sadrži popis kriptekurencijske novčanike usmjeren na krađu iz žrtvinog sustava, zlonamjerni softver je skenirao direktorije povezane sa svakim novčanikom i pokušao izdvojiti datoteke povezane s novčanikom. Naknadno su ukradeni podaci novčanika komprimirani u ZIP datoteke i poslani na poslužitelj napadača.
Zlonamjerni je softver također pokušao ukrasti aplikaciju za razmjenu poruka Telegram podatke o sesiji skeniranjem direktorija i datoteka povezanih s Telegramom. Dobivanjem pristupa sesijama Telegrama, napadač je mogao neovlašteno ući u žrtvin Telegram račun i komunikaciju.
Ova kampanja primjer je sofisticirane taktike koju zlonamjerni akteri koriste za distribuciju zlonamjernog softvera putem pouzdanih platformi kao što su PyPI i GitHub. Nedavni incident s Top.gg naglašava važnost opreza pri instaliranju paketa i repozitorija, čak i iz renomiranih izvora.
Izjava o odricanju od odgovornosti
U skladu s Smjernice projekta povjerenja, imajte na umu da informacije navedene na ovoj stranici nemaju namjeru i ne smiju se tumačiti kao pravni, porezni, investicijski, financijski ili bilo koji drugi oblik savjeta. Važno je ulagati samo ono što si možete priuštiti izgubiti i potražiti neovisni financijski savjet ako imate bilo kakvih nedoumica. Za dodatne informacije predlažemo da pogledate odredbe i uvjete, kao i stranice za pomoć i podršku koje pruža izdavatelj ili oglašivač. MetaversePost je predan točnom, nepristranom izvješćivanju, ali tržišni uvjeti podložni su promjenama bez prethodne najave.
O autoru
Alisa, predana novinarka u MPost, specijalizirao se za kriptovalute, dokaze bez znanja, ulaganja i ekspanzivno područje Web3. S oštrim okom za nove trendove i tehnologije, ona pruža sveobuhvatnu pokrivenost kako bi informirala i uključila čitatelje u krajolik digitalnih financija koji se neprestano razvija.
Više članakaAlisa, predana novinarka u MPost, specijalizirao se za kriptovalute, dokaze bez znanja, ulaganja i ekspanzivno područje Web3. S oštrim okom za nove trendove i tehnologije, ona pruža sveobuhvatnu pokrivenost kako bi informirala i uključila čitatelje u krajolik digitalnih financija koji se neprestano razvija.