偽の Python インフラストラクチャを介して 170,000 人以上の Top.gg ユーザーを襲う悪意のある攻撃
簡単に言えば
Top.gg GitHub 組織 170,000 人のユーザー コミュニティがソフトウェア サプライ チェーンへの攻撃で悪意のある攻撃者の標的に.
170,000 人を超えるメンバーで構成される Top.gg GitHub 組織コミュニティは、ソフトウェア サプライ チェーンに対する攻撃で悪意のある攻撃者の標的となり、悪用の成功を示唆する証拠があり、複数の被害者に影響を与えました。
3 月 XNUMX 日、ユーザーはコミュニティの Discord チャットで「editor-syntax」のアカウントに関連付けられた不審なアクティビティについて注意を喚起しました。 「editor-syntax」は、彼のメッセージを通じて状況を知り、衝撃を受けました。 GitHubの アカウント。このマルウェアが多数の個人に影響を与えていたことが明らかになり、攻撃の範囲と影響が浮き彫りになりました。
この攻撃では、攻撃者はさまざまな戦術、技術、手順 (TTP) を使用しました。これには、盗まれたブラウザー Cookie によるアカウントの乗っ取り、検証済みのコミットを含む悪意のあるコードの挿入、カスタマイズされた Python ミラーの確立、PyPi レジストリへの悪意のあるパッケージのアップロードなどが含まれます。
特に、攻撃インフラストラクチャには、Python パッケージのミラーを模倣するように設計された Web サイトが含まれており、「files[.]pypihosted[.]org」ドメイン(公式をターゲットとするドメイン)の下に登録されていました。 Python ミラー、「files.pythonhosted.org」、PyPi パッケージ アーティファクト ファイルを保存するための通常のリポジトリ。攻撃者はまた、毎月 150 億 XNUMX 万回以上ダウンロードされ、広く使用されているツールである Colorama を複製し、悪意のあるコードを挿入することで侵入しました。彼らはスペースパディングを使用して Colorama 内の有害なペイロードを隠し、この改変されたバージョンをタイポスクワッティングされたドメインの偽ミラー上にホストしました。さらに、攻撃者の攻撃範囲は、アカウントを通じて悪意のあるリポジトリを作成するだけにとどまりませんでした。彼らは評判の高い GitHub アカウントをハイジャックし、それらのアカウントに関連付けられたリソースを利用して悪意のあるコミットを行いました。
攻撃者は、悪意のある GitHub リポジトリを通じてマルウェアを拡散することに加えて、悪意のある Python パッケージ「yocolor」を利用して、マルウェアを含む「colorama」パッケージを配布しました。悪意のある攻撃者は、同じタイポスクワッティング手法を使用して、ドメイン「files[.]pypihosted[.]org」に悪意のあるパッケージをホストし、正規の「colorama」パッケージと同じ名前を使用しました。
攻撃者は、パッケージのインストール プロセスを操作し、ユーザーが Python パッケージ エコシステムに置いている信頼を悪用することで、プロジェクトの要件で悪意のある依存関係が指定されるたびに、悪意のある「colorama」パッケージがインストールされるようにしました。この戦術により、攻撃者は疑惑を回避し、Python パッケージング システムの整合性に依存する無防備な開発者のシステムに侵入することができました。
SlowMist CISO がマルウェアによる人気アプリケーションからの大規模なデータ抽出を明らかに
による スローミスト 最高情報セキュリティ責任者「23pds」このマルウェアは、多くの人気のあるソフトウェア アプリケーションを標的とし、仮想通貨ウォレット情報、Discord データ、ブラウザ データ、Telegram セッションなどの機密データを抽出しました。
のリストを含む 暗号化性のウォレット 被害者のシステムからの盗難をターゲットとしたマルウェアは、各ウォレットにリンクされているディレクトリをスキャンし、ウォレット関連のファイルを抽出しようとしました。その後、盗まれたウォレットのデータは ZIP ファイルに圧縮され、攻撃者のサーバーに送信されました。
このマルウェアはメッセージング アプリケーションも盗もうとしました Telegram Telegram にリンクされているディレクトリとファイルをスキャンしてセッション データを収集します。 Telegram セッションへのアクセスを取得することで、攻撃者は被害者の Telegram アカウントと通信に不正に侵入した可能性があります。
このキャンペーンは、悪意のある攻撃者が PyPI や GitHub などの信頼できるプラットフォームを通じてマルウェアを配布するために使用する高度な戦術を例示しています。最近の Top.gg 事件は、たとえ信頼できるソースからのものであっても、パッケージやリポジトリをインストールする際の警戒の重要性を浮き彫りにしました。
免責事項
に沿って トラストプロジェクトのガイドライン, このページで提供される情報は、法律、税金、投資、財務、またはその他の形式のアドバイスを目的としたものではなく、そのように解釈されるべきではないことに注意してください。 損失しても許容できる金額のみを投資し、疑問がある場合は独立した財務上のアドバイスを求めることが重要です。 詳細については、利用規約のほか、発行者または広告主が提供するヘルプおよびサポート ページを参照することをお勧めします。 MetaversePost は正確で公平なレポートに努めていますが、市場の状況は予告なく変更される場合があります。
著者について
アリサ、専属ジャーナリスト MPost、暗号通貨、ゼロ知識証明、投資、および広範な領域を専門としています。 Web3。彼女は新たなトレンドやテクノロジーに鋭い目を向け、包括的な報道を提供して、読者に情報を提供し、進化し続けるデジタル金融の状況に興味を持ってもらえるようにしています。
より多くの記事
アリサ、専属ジャーナリスト MPost、暗号通貨、ゼロ知識証明、投資、および広範な領域を専門としています。 Web3。彼女は新たなトレンドやテクノロジーに鋭い目を向け、包括的な報道を提供して、読者に情報を提供し、進化し続けるデジタル金融の状況に興味を持ってもらえるようにしています。
