Serangan Berbahaya Menyerang Lebih dari 170,000 Pengguna Top.gg Melalui Infrastruktur Python Palsu
Singkatnya
Organisasi Top.gg GitHub dengan 170,000 komunitas pengguna menjadi sasaran pelaku jahat dalam serangan terhadap rantai pasokan perangkat lunak.
Komunitas organisasi Top.gg GitHub, yang terdiri dari lebih dari 170,000 anggota, menjadi sasaran pelaku jahat dalam serangan terhadap rantai pasokan perangkat lunak dengan bukti yang menunjukkan keberhasilan eksploitasi, yang berdampak pada banyak korban.
Pada tanggal 3 Maret, pengguna menarik perhatian “sintaks editor” di obrolan komunitas Discord tentang aktivitas mencurigakan yang tertaut ke akunnya. “editor-sintaks” terkejut saat mengetahui situasinya melalui miliknya GitHub akun. Menjadi jelas bahwa malware tersebut telah mempengaruhi banyak orang, sehingga menyoroti tingkat dan dampak serangan tersebut.
Pelaku ancaman menggunakan berbagai Taktik, Teknik, dan Prosedur (TTP) dalam serangan ini, termasuk pengambilalihan akun melalui cookie browser yang dicuri, memasukkan kode berbahaya dengan komitmen terverifikasi, membuat mirror Python yang disesuaikan, dan mengunggah paket berbahaya ke registri PyPi.
Khususnya, infrastruktur serangan mencakup situs web yang dirancang untuk meniru mirror paket Python, terdaftar di bawah domain “files[.]pypihosted[.]org”–domain yang menargetkan server resmi. Ular sanca mirror, “files.pythonhosted.org,” repositori biasa untuk menyimpan file artefak paket PyPi. Pelaku ancaman juga mengambil Colorama, alat yang banyak digunakan dengan lebih dari 150 juta unduhan bulanan, dengan menggandakannya dan menyuntikkan kode berbahaya. Mereka mengaburkan muatan berbahaya dalam Colorama dengan menggunakan space padding dan menghosting versi yang diubah ini di mirror palsu domain kesalahan ketik mereka. Selain itu, jangkauan penyerang lebih dari sekadar menciptakan repositori berbahaya melalui akun mereka. Mereka membajak akun GitHub dengan reputasi tinggi dan memanfaatkan sumber daya yang terkait dengan akun tersebut untuk melakukan tindakan jahat.
Selain menyebarkan malware melalui repositori GitHub yang berbahaya, penyerang juga menggunakan paket Python berbahaya, “yocolor,” untuk mendistribusikan paket “colorama” yang berisi malware tersebut. Dengan menggunakan teknik kesalahan ketik yang sama, pelaku kejahatan menghosting paket jahat di domain “files[.]pypihosted[.]org” dan menggunakan nama yang identik dengan paket “colorama” yang sah.
Dengan memanipulasi proses instalasi paket dan mengeksploitasi kepercayaan pengguna pada ekosistem paket Python, penyerang memastikan bahwa paket “colorama” berbahaya akan diinstal setiap kali ketergantungan berbahaya ditentukan dalam persyaratan proyek. Taktik ini memungkinkan penyerang untuk mengabaikan kecurigaan dan menyusup ke sistem pengembang yang tidak menaruh curiga yang mengandalkan integritas sistem pengemasan Python.
SlowMist CISO Mengungkapkan Ekstraksi Data Malware yang Luas dari Aplikasi Populer
Menurut Kabut Lambat Chief Information Security Officer “23pds”, malware tersebut menargetkan banyak aplikasi perangkat lunak populer, mengekstraksi data sensitif seperti informasi dompet mata uang kripto, data Discord, data browser, sesi Telegram, dan banyak lagi.
Berisi daftar dompet cryptocurrency ditargetkan untuk pencurian dari sistem korban, malware memindai direktori yang tertaut ke setiap dompet dan berupaya mengekstrak file terkait dompet. Selanjutnya, data dompet yang dicuri dikompresi menjadi file ZIP dan dikirimkan ke server penyerang.
Malware juga berusaha mencuri aplikasi perpesanan Telegram data sesi dengan memindai direktori dan file yang ditautkan ke Telegram. Dengan mendapatkan akses ke sesi Telegram, penyerang mungkin mendapatkan akses tidak sah ke akun dan komunikasi Telegram korban.
Kampanye ini menunjukkan taktik canggih yang digunakan pelaku kejahatan untuk mendistribusikan malware melalui platform tepercaya seperti PyPI dan GitHub. Insiden Top.gg baru-baru ini menyoroti pentingnya kewaspadaan ketika menginstal paket dan repositori, bahkan dari sumber yang memiliki reputasi baik.
Penolakan tanggung jawab
Sejalan dengan Percayai pedoman Proyek, harap dicatat bahwa informasi yang diberikan pada halaman ini tidak dimaksudkan untuk dan tidak boleh ditafsirkan sebagai nasihat hukum, pajak, investasi, keuangan, atau bentuk nasihat lainnya. Penting untuk hanya menginvestasikan jumlah yang mampu Anda tanggung kerugiannya dan mencari nasihat keuangan independen jika Anda ragu. Untuk informasi lebih lanjut, kami menyarankan untuk merujuk pada syarat dan ketentuan serta halaman bantuan dan dukungan yang disediakan oleh penerbit atau pengiklan. MetaversePost berkomitmen terhadap pelaporan yang akurat dan tidak memihak, namun kondisi pasar dapat berubah tanpa pemberitahuan.
Tentang Penulis
Alisa, seorang jurnalis yang berdedikasi di MPost, berspesialisasi dalam mata uang kripto, bukti tanpa pengetahuan, investasi, dan bidang yang luas Web3. Dengan ketertarikannya terhadap tren dan teknologi yang sedang berkembang, ia memberikan liputan komprehensif untuk memberikan informasi dan melibatkan pembaca dalam lanskap keuangan digital yang terus berkembang.
lebih artikelAlisa, seorang jurnalis yang berdedikasi di MPost, berspesialisasi dalam mata uang kripto, bukti tanpa pengetahuan, investasi, dan bidang yang luas Web3. Dengan ketertarikannya terhadap tren dan teknologi yang sedang berkembang, ia memberikan liputan komprehensif untuk memberikan informasi dan melibatkan pembaca dalam lanskap keuangan digital yang terus berkembang.