Rosszindulatú támadások több mint 170,000 XNUMX Top.gg felhasználót érnek el hamis Python infrastruktúrán keresztül
Röviden
A Top.gg GitHub szervezet 170,000 XNUMX felhasználói közösségét rosszindulatú szereplők célkeresztbe vették a szoftverellátási lánc elleni támadás során.
A több mint 170,000 XNUMX tagot számláló Top.gg GitHub szervezeti közösséget rosszindulatú szereplők célkeresztbe vették a szoftverellátási lánc elleni támadás során, bizonyítékokkal, amelyek több áldozatot érintő sikeres kizsákmányolásra utalnak.
Március 3-án a felhasználók felhívták a közösség Discord-csevegésének „szerkesztő-szintaxisára” a figyelmet a fiókjához kapcsolódó gyanús tevékenységekről. „szerkesztő-szintaxis” megdöbbent, amikor az övén keresztül fedezte fel a helyzetet GitHub fiókot. Nyilvánvalóvá vált, hogy a rosszindulatú program számos személyt érintett, kiemelve a támadás mértékét és hatását.
A fenyegetés szereplői különböző taktikákat, technikákat és eljárásokat (TTP) alkalmaztak ebben a támadásban, amelyek magukban foglalták a fiókok átvételét ellopott böngésző cookie-kon keresztül, rosszindulatú kódok beszúrását ellenőrzött commitokkal, testreszabott Python-tükör létrehozását és rosszindulatú csomagok feltöltését a PyPi rendszerleíró adatbázisába.
Nevezetesen, a támadási infrastruktúra egy Python-csomagtükör utánzására tervezett webhelyet tartalmazott, amely a „files[.]pypihosted[.]org” domain alatt volt regisztrálva – ez a domain a hivatalos személyt célozza meg. Piton mirror, a „files.pythonhosted.org”, a PyPi-csomag műtermékfájlok tárolásának szokásos tárolója. A fenyegetettség szereplői a Coloramát, egy széles körben használt eszközt, több mint 150 millió havi letöltéssel, lemásolták és rosszindulatú kódot juttattak be. Elfedték a Coloramán belüli káros terhelést térkitöltéssel, és ezt a módosított verziót elhelyezték az elgépelt tartományú hamis tükörükön. Ezenkívül a támadók hatóköre túlmutat azon, hogy fiókjaikon keresztül rosszindulatú adattárakat hozzanak létre. Jó hírű GitHub-fiókokat térítettek el, és a fiókokhoz kapcsolódó erőforrásokat rosszindulatú elkövetések végrehajtására használták fel.
Amellett, hogy a rosszindulatú GitHub-tárolókon keresztül terjesztették a kártevőt, a támadók egy rosszindulatú Python-csomagot, a „yocolort” is felhasználták a kártevőt tartalmazó „colorama” csomag terjesztésére. Ugyanezt a typosquatting technikát alkalmazva a rossz szereplők a rosszindulatú csomagot a „files[.]pypihosted[.]org” domainen tárolták, és a legitim „colorama” csomaggal azonos nevet használtak.
A csomagtelepítési folyamat manipulálásával és a felhasználók Python csomagökoszisztémában elhelyezett bizalmának kihasználásával a támadó biztosította, hogy a rosszindulatú „colorama” csomag telepítésre kerüljön, amikor a rosszindulatú függőséget meghatározták a projekt követelményei között. Ez a taktika lehetővé tette a támadó számára, hogy megkerülje a gyanút, és behatoljon a gyanútlan fejlesztők rendszereibe, akik a Python csomagolórendszer integritására támaszkodtak.
A SlowMist CISO feltárja a rosszindulatú programok kiterjedt adatkinyerését a népszerű alkalmazásokból
Szerint SlowMist A „23pds” információbiztonsági igazgató, a rosszindulatú program számos népszerű szoftveralkalmazást célzott meg, olyan érzékeny adatokat nyerve ki, mint a kriptovaluta pénztárca, a Discord adatok, a böngészőadatok, a távirati munkamenetek stb.
A listát tartalmazza cryptocurrency pénztárcák Az áldozat rendszeréből való lopást célozta meg, a rosszindulatú program minden egyes pénztárcához kapcsolódó könyvtárat keresett, és megpróbálta kibontani a pénztárcával kapcsolatos fájlokat. Ezt követően az ellopott pénztárcaadatokat ZIP-fájlokba tömörítették, és továbbították a támadó szerverére.
A kártevő megkísérelt ellopni egy üzenetküldő alkalmazást is Telegram munkamenetadatokat a Telegramhoz kapcsolódó könyvtárak és fájlok keresésével. A Telegram-munkamenetekhez való hozzáféréssel a támadó illetéktelenül bejuthatott az áldozat Telegram-fiókjába és kommunikációjába.
Ez a kampány jól példázza azt a kifinomult taktikát, amellyel a rosszindulatú szereplők rosszindulatú programokat terjesztenek olyan megbízható platformokon, mint a PyPI és a GitHub. A legutóbbi Top.gg-incidens rávilágít az éberség fontosságára a csomagok és tárolók telepítésekor, még jó hírű forrásokból is.
A felelősség megtagadása
Összhangban a A Trust Project irányelvei, kérjük, vegye figyelembe, hogy az ezen az oldalon közölt információk nem minősülnek jogi, adózási, befektetési, pénzügyi vagy bármilyen más formájú tanácsnak, és nem is értelmezhetők. Fontos, hogy csak annyit fektessen be, amennyit megengedhet magának, hogy elveszítsen, és kérjen független pénzügyi tanácsot, ha kétségei vannak. További információkért javasoljuk, hogy tekintse meg a szerződési feltételeket, valamint a kibocsátó vagy hirdető által biztosított súgó- és támogatási oldalakat. MetaversePost elkötelezett a pontos, elfogulatlan jelentéstétel mellett, de a piaci feltételek előzetes értesítés nélkül változhatnak.
A szerzőről
Alisa, a The MPost, a kriptovalutákra, a nulla tudásalapú bizonyítékokra, a befektetésekre és a Web3. Élénk szemmel figyeli a feltörekvő trendeket és technológiákat, ezért átfogó tájékoztatást nyújt, hogy tájékoztassa és bevonja olvasóit a digitális pénzügyek folyamatosan fejlődő világába.
További cikkek
Alisa, a The MPost, a kriptovalutákra, a nulla tudásalapú bizonyítékokra, a befektetésekre és a Web3. Élénk szemmel figyeli a feltörekvő trendeket és technológiákat, ezért átfogó tájékoztatást nyújt, hogy tájékoztassa és bevonja olvasóit a digitális pénzügyek folyamatosan fejlődő világába.
