התקפה זדונית תוקפת יותר מ-170,000 משתמשי Top.gg באמצעות תשתית פייתון מזויפת
בקיצור
Top.gg ארגון GitHub 170,000 קהילת משתמשים היו ממוקדים על ידי שחקנים זדוניים במתקפה על שרשרת אספקת התוכנה.
קהילת ארגון Top.gg GitHub, הכוללת למעלה מ-170,000 חברים, הייתה מטרה על ידי שחקנים זדוניים במתקפה על שרשרת אספקת התוכנה עם ראיות המצביעות על ניצול מוצלח, שהשפיע על קורבנות מרובים.
ב-3 במרץ, משתמשים הביאו את תשומת הלב של "עורך-תחביר" בצ'אט Discord של הקהילה על פעילויות חשודות המקושרות לחשבון שלו. "עורך-תחביר" היה בהלם כשגילה את המצב דרכו GitHub חֶשְׁבּוֹן. התברר שהתוכנה הזדונית השפיעה על אנשים רבים, והדגישה את היקף והשפעתה של המתקפה.
שחקני האיום השתמשו בשיטות שונות, טכניקות ונהלים (TTPs) במתקפה זו, שכללה השתלטות על חשבון באמצעות עוגיות דפדפן שנגנבו, הכנסת קוד זדוני עם מחויבות מאומתות, הקמת מראה Python מותאמת אישית והעלאת חבילות זדוניות לרישום PyPi.
יש לציין שתשתית התקיפה כללה אתר אינטרנט שנועד לחקות מראה של חבילת Python, הרשום תחת הדומיין "files[.]pypihosted[.]org" - הדומיין המכוון לרשמית פיתון mirror, "files.pythonhosted.org", המאגר הרגיל לאחסון קבצי חפצים של חבילת PyPi. שחקני האיום גם לקחו את Colorama, כלי בשימוש נרחב עם למעלה מ-150 מיליון הורדות חודשיות, על ידי שכפול שלו והחדרת קוד זדוני. הם הסתירו את המטען המזיק בתוך Colorama על ידי שימוש בריפוד חלל ואירחו את הגרסה השונה הזו במראה המזויף של הדומיין שלהם. יתר על כן, טווח ההגעה של התוקפים חרג מעבר ליצירת מאגרים זדוניים דרך החשבונות שלהם. הם חטפו חשבונות GitHub בעלי מוניטין גבוה וניצלו את המשאבים הקשורים לחשבונות אלה כדי לבצע התחייבויות זדוניות.
בנוסף להפצת התוכנה הזדונית דרך מאגרי GitHub זדוניים, התוקפים השתמשו גם בחבילת Python זדונית, "yocolor", כדי להפיץ את חבילת "colorama" המכילה את התוכנה הזדונית. תוך שימוש באותה טכניקת הקלדה, שחקנים גרועים אירחו את החבילה הזדונית בדומיין "files[.]pypihosted[.]org" והשתמשו בשם זהה לחבילת "colorama" הלגיטימית.
על ידי מניפולציה של תהליך התקנת החבילה וניצול האמון שמשתמשים נותנים במערכת האקולוגית של חבילת Python, התוקף הבטיח שחבילת ה-"colorama" הזדונית תותקן בכל פעם שהתלות הזדונית צוינה בדרישות הפרויקט. טקטיקה זו אפשרה לתוקף לעקוף חשדות ולחדור למערכות של מפתחים תמימים אשר הסתמכו על שלמות מערכת האריזה של Python.
SlowMist CISO חושף את חילוץ הנתונים הנרחב של תוכנות זדוניות מיישומים פופולריים
לפי SlowMist קצין אבטחת המידע הראשי "23pds", התוכנה הזדונית פנתה ליישומי תוכנה פופולריים רבים, וחילצה נתונים רגישים כגון מידע על ארנק קריפטוגרפי, נתוני דיסקורד, נתוני דפדפן, הפעלות טלגרם ועוד.
מכיל את הרשימה של ארנקים ממוקד לגניבה מהמערכת של הקורבן, התוכנה הזדונית סרקה אחר ספריות המקושרות לכל ארנק וניסתה לחלץ קבצים הקשורים לארנק. לאחר מכן, נתוני הארנק שנגנבו נדחסו לקובצי ZIP והועברו לשרת של התוקף.
התוכנה הזדונית ניסתה גם לגנוב אפליקציה להעברת הודעות מברק נתוני הפעלה על ידי סריקה אחר ספריות וקבצים המקושרים לטלגרם. על ידי השגת גישה להפעלות טלגרם, ייתכן שהתוקף זכה לכניסה בלתי מורשית לחשבון הטלגרם ולתקשורת של הקורבן.
מסע פרסום זה מדגים את הטקטיקות המתוחכמות ששחקנים זדוניים משתמשים בהם כדי להפיץ תוכנות זדוניות באמצעות פלטפורמות מהימנות כגון PyPI ו-GitHub. התקרית האחרונה של Top.gg מדגישה את המשמעות של ערנות בעת התקנת חבילות ומאגרים, אפילו ממקורות מוכרים.
כתב ויתור
בקנה אחד עם הנחיות פרויקט אמון, אנא שים לב שהמידע המסופק בדף זה אינו מיועד ואין לפרש אותו כייעוץ משפטי, מס, השקעות, פיננסי או כל צורה אחרת של ייעוץ. חשוב להשקיע רק את מה שאתה יכול להרשות לעצמך להפסיד ולפנות לייעוץ פיננסי עצמאי אם יש לך ספק. למידע נוסף, אנו מציעים להתייחס לתנאים ולהגבלות וכן לדפי העזרה והתמיכה שסופקו על ידי המנפיק או המפרסם. MetaversePost מחויבת לדיווח מדויק וחסר פניות, אך תנאי השוק עשויים להשתנות ללא הודעה מוקדמת.
על המחבר
אליסה, עיתונאית מסורה ב- MPost, מתמחה במטבעות קריפטוגרפיים, הוכחות אפס ידע, השקעות ותחום הרחבה של Web3. עם עין חדה לטרנדים וטכנולוגיות מתפתחות, היא מספקת סיקור מקיף כדי ליידע ולערב את הקוראים בנוף ההולך ומתפתח של מימון דיגיטלי.
מאמרים נוספיםאליסה, עיתונאית מסורה ב- MPost, מתמחה במטבעות קריפטוגרפיים, הוכחות אפס ידע, השקעות ותחום הרחבה של Web3. עם עין חדה לטרנדים וטכנולוגיות מתפתחות, היא מספקת סיקור מקיף כדי ליידע ולערב את הקוראים בנוף ההולך ומתפתח של מימון דיגיטלי.