Un attacco dannoso colpisce oltre 170,000 utenti Top.gg attraverso una falsa infrastruttura Python
In Breve
L'organizzazione Top.gg GitHub, una community di 170,000 utenti, è stata presa di mira da malintenzionati in un attacco alla catena di fornitura del software.
La comunità dell'organizzazione Top.gg GitHub, che comprende oltre 170,000 membri, è stata presa di mira da soggetti malintenzionati in un attacco alla catena di fornitura del software con prove che suggeriscono uno sfruttamento riuscito, colpendo più vittime.
Il 3 marzo gli utenti hanno portato all'attenzione di “editor-syntax” sulla chat Discord della community riguardo ad attività sospette legate al suo account. "editor-syntax" è rimasto scioccato nello scoprire la situazione attraverso il suo GitHub account. È risultato evidente che il malware aveva colpito numerose persone, evidenziando la portata e l’impatto dell’attacco.
Gli autori delle minacce hanno utilizzato varie tattiche, tecniche e procedure (TTP) in questo attacco, tra cui il furto dell'account tramite cookie del browser rubati, l'inserimento di codice dannoso con commit verificati, la creazione di un mirror Python personalizzato e il caricamento di pacchetti dannosi nel registro PyPi.
In particolare, l'infrastruttura di attacco comprendeva un sito Web progettato per imitare un mirror di pacchetti Python, registrato sotto il dominio "files[.]pypihosted[.]org", il dominio che prende di mira il sito ufficiale Python mirror, "files.pythonhosted.org", il solito repository per l'archiviazione dei file degli artefatti del pacchetto PyPi. Gli autori della minaccia hanno inoltre preso Colorama, uno strumento ampiamente utilizzato con oltre 150 milioni di download mensili, duplicandolo e inserendo codice dannoso. Hanno oscurato il carico utile dannoso all'interno di Colorama utilizzando il riempimento dello spazio e hanno ospitato questa versione alterata sul loro falso mirror del dominio con errori di battitura. Inoltre, la portata degli aggressori è andata oltre la creazione di repository dannosi attraverso i loro account. Hanno preso il controllo degli account GitHub con un'alta reputazione e hanno utilizzato le risorse associate a tali account per effettuare commit dannosi.
Oltre a diffondere il malware attraverso repository GitHub dannosi, gli aggressori hanno anche utilizzato un pacchetto Python dannoso, “yocolor”, per distribuire il pacchetto “colorama” contenente il malware. Utilizzando la stessa tecnica di typosquatting, i malintenzionati hanno ospitato il pacchetto dannoso sul dominio “files[.]pypihosted[.]org” e hanno utilizzato un nome identico al pacchetto legittimo “colorama”.
Manipolando il processo di installazione del pacchetto e sfruttando la fiducia che gli utenti ripongono nell'ecosistema del pacchetto Python, l'aggressore si è assicurato che il pacchetto dannoso "colorama" venisse installato ogni volta che la dipendenza dannosa fosse specificata nei requisiti del progetto. Questa tattica ha permesso all'aggressore di aggirare i sospetti e di infiltrarsi nei sistemi di ignari sviluppatori che facevano affidamento sull'integrità del sistema di packaging Python.
Il CISO di SlowMist rivela l'ampia capacità di estrazione dei dati del malware dalle applicazioni più diffuse
Secondo slowmist Chief Information Security Officer “23pds”, il malware ha preso di mira molte applicazioni software popolari, estraendo dati sensibili come informazioni sul portafoglio di criptovaluta, dati Discord, dati del browser, sessioni di Telegram e altro ancora.
Contenente l'elenco dei portafogli di criptovaluta preso di mira per il furto dal sistema della vittima, il malware ha scansionato le directory collegate a ciascun portafoglio e ha tentato di estrarre i file relativi al portafoglio. Successivamente i dati del portafoglio rubato sono stati compressi in file ZIP e trasmessi al server dell'aggressore.
Il malware ha anche tentato di rubare l'applicazione di messaggistica Telegram dati della sessione eseguendo la scansione di directory e file collegati a Telegram. Ottenendo l'accesso alle sessioni di Telegram, l'aggressore potrebbe essere riuscito ad ottenere un accesso non autorizzato all'account Telegram e alle comunicazioni della vittima.
Questa campagna esemplifica le sofisticate tattiche utilizzate dagli attori malintenzionati per distribuire malware attraverso piattaforme affidabili come PyPI e GitHub. Il recente incidente di Top.gg evidenzia l'importanza della vigilanza durante l'installazione di pacchetti e repository, anche da fonti affidabili.
Negazione di responsabilità
In linea con la Linee guida del progetto Trust, si prega di notare che le informazioni fornite in questa pagina non intendono essere e non devono essere interpretate come consulenza legale, fiscale, di investimento, finanziaria o di qualsiasi altra forma. È importante investire solo ciò che puoi permetterti di perdere e chiedere una consulenza finanziaria indipendente in caso di dubbi. Per ulteriori informazioni, suggeriamo di fare riferimento ai termini e alle condizioni nonché alle pagine di aiuto e supporto fornite dall'emittente o dall'inserzionista. MetaversePost si impegna a fornire report accurati e imparziali, ma le condizioni di mercato sono soggette a modifiche senza preavviso.
Circa l'autore
Alisa, una giornalista dedicata al MPost, è specializzato in criptovaluta, prove a conoscenza zero, investimenti e nel vasto regno di Web3. Con un occhio attento alle tendenze e alle tecnologie emergenti, offre una copertura completa per informare e coinvolgere i lettori nel panorama in continua evoluzione della finanza digitale.
Altri articoli
Alisa, una giornalista dedicata al MPost, è specializzato in criptovaluta, prove a conoscenza zero, investimenti e nel vasto regno di Web3. Con un occhio attento alle tendenze e alle tecnologie emergenti, offre una copertura completa per informare e coinvolgere i lettori nel panorama in continua evoluzione della finanza digitale.
