가짜 Python 인프라를 통해 170,000명 이상의 Top.gg 사용자를 공격하는 악성 공격
요컨대
Top.gg GitHub 조직 170,000명의 사용자 커뮤니티가 소프트웨어 공급망에 대한 공격으로 악의적인 행위자의 표적이 되었습니다..
170,000명 이상의 회원으로 구성된 Top.gg GitHub 조직 커뮤니티는 성공적인 악용을 암시하는 증거와 함께 소프트웨어 공급망에 대한 공격에서 악의적인 행위자의 표적이 되어 여러 피해자에게 영향을 미쳤습니다.
3월 XNUMX일, 사용자들은 자신의 계정과 관련된 의심스러운 활동에 대해 커뮤니티의 Discord 채팅에서 "편집기 구문"에 대한 관심을 끌었습니다. "editor-syntax"는 자신의 웹사이트를 통해 상황을 발견하고 충격을 받았습니다. GitHub의 계정. 악성 코드가 수많은 개인에게 영향을 미쳤다는 것이 분명해졌으며 공격의 규모와 영향이 더욱 부각되었습니다.
공격자는 이 공격에서 다양한 전술, 기술 및 절차(TTP)를 사용했는데, 여기에는 도난당한 브라우저 쿠키를 통한 계정 탈취, 검증된 커밋이 포함된 악성 코드 삽입, 맞춤형 Python 미러 설정, PyPi 레지스트리에 악성 패키지 업로드 등이 포함되었습니다.
특히, 공격 인프라에는 공식 패키지를 표적으로 삼는 도메인인 "files[.]pypihosted[.]org" 도메인에 등록된 Python 패키지 미러를 모방하도록 설계된 웹 사이트가 포함되었습니다. Python 미러, "files.pythonhosted.org"는 PyPi 패키지 아티팩트 파일을 저장하기 위한 일반적인 저장소입니다. 공격자들은 또한 월간 다운로드 수가 150억 XNUMX천만 건이 넘는 널리 사용되는 도구인 Colorama를 복제하고 악성 코드를 주입하는 방식으로 탈취했습니다. 그들은 공백 패딩을 사용하여 Colorama 내의 유해한 페이로드를 가리고 타이포스쿼트 도메인 가짜 미러에서 이 변경된 버전을 호스팅했습니다. 게다가 공격자의 범위는 자신의 계정을 통해 악성 저장소를 만드는 것 이상입니다. 그들은 평판이 좋은 GitHub 계정을 하이재킹하고 해당 계정과 관련된 리소스를 활용하여 악의적인 커밋을 수행했습니다.
공격자는 악성 GitHub 리포지토리를 통해 악성코드를 확산시키는 것 외에도 악성 Python 패키지인 "yocolor"를 활용하여 악성코드가 포함된 "colorama" 패키지를 배포했습니다. 동일한 타이포스쿼팅 기술을 사용하여 악의적인 행위자는 "files[.]pypihosted[.]org" 도메인에 악성 패키지를 호스팅하고 합법적인 "colorama" 패키지와 동일한 이름을 사용했습니다.
공격자는 패키지 설치 프로세스를 조작하고 Python 패키지 생태계에 대한 사용자의 신뢰를 이용하여 프로젝트 요구 사항에 악의적인 종속성이 지정될 때마다 악성 "colorama" 패키지가 설치되도록 했습니다. 이 전술을 통해 공격자는 의심을 우회하고 Python 패키징 시스템의 무결성에 의존하는 의심하지 않는 개발자의 시스템에 침투할 수 있었습니다.
SlowMist CISO, 인기 애플리케이션에서 악성코드의 광범위한 데이터 추출 공개
에 따르면 slowmist 최고 정보 보안 책임자(CIO)인 “23pds” 악성 코드는 많은 인기 소프트웨어 애플리케이션을 표적으로 삼아 암호화폐 지갑 정보, Discord 데이터, 브라우저 데이터, 텔레그램 세션 등과 같은 민감한 데이터를 추출했습니다.
다음 목록이 포함되어 있습니다. 암호 화 지갑 피해자의 시스템을 훔치는 것을 목표로 하는 악성코드는 각 지갑에 연결된 디렉터리를 검사하고 지갑 관련 파일을 추출하려고 시도했습니다. 이후 도난당한 지갑 데이터는 ZIP 파일로 압축돼 공격자의 서버로 전송됐다.
악성코드는 메시징 애플리케이션도 훔치려고 시도했습니다. 텔레그램 Telegram에 연결된 디렉터리 및 파일을 검색하여 세션 데이터. 텔레그램 세션에 접근함으로써 공격자는 피해자의 텔레그램 계정과 통신에 무단으로 접근할 수 있게 되었습니다.
이 캠페인은 악의적인 행위자가 PyPI 및 GitHub와 같은 신뢰할 수 있는 플랫폼을 통해 악성 코드를 배포하기 위해 사용하는 정교한 전술을 보여줍니다. 최근 Top.gg 사건은 평판이 좋은 소스에서 가져온 패키지와 리포지토리를 설치할 때 경계의 중요성을 강조합니다.
책임 부인
줄 안 트러스트 프로젝트 지침, 이 페이지에 제공된 정보는 법률, 세금, 투자, 재정 또는 기타 형태의 조언을 제공하기 위한 것이 아니며 해석되어서도 안 됩니다. 손실을 감수할 수 있는 만큼만 투자하고 의심스러운 경우 독립적인 재정 조언을 구하는 것이 중요합니다. 자세한 내용은 이용약관은 물론 발행자나 광고주가 제공하는 도움말 및 지원 페이지를 참조하시기 바랍니다. MetaversePost 는 정확하고 편견 없는 보고를 위해 최선을 다하고 있지만 시장 상황은 예고 없이 변경될 수 있습니다.
저자에 관하여
전담 저널리스트인 알리사(Alisa) MPost, 암호화폐, 영지식 증명, 투자 및 광범위한 영역을 전문으로 합니다. Web3. 새로운 트렌드와 기술에 대한 예리한 안목을 바탕으로 그녀는 끊임없이 진화하는 디지털 금융 환경에 대해 독자들에게 정보를 제공하고 참여시키기 위해 포괄적인 취재를 제공합니다.
더 많은 기사
전담 저널리스트인 알리사(Alisa) MPost, 암호화폐, 영지식 증명, 투자 및 광범위한 영역을 전문으로 합니다. Web3. 새로운 트렌드와 기술에 대한 예리한 안목을 바탕으로 그녀는 끊임없이 진화하는 디지털 금융 환경에 대해 독자들에게 정보를 제공하고 참여시키기 위해 포괄적인 취재를 제공합니다.
