Kenkėjiška ataka per netikrą Python infrastruktūrą užpuolė daugiau nei 170,000 XNUMX Top.gg vartotojų
Trumpai
„Top.gg GitHub“ organizacijos 170,000 XNUMX vartotojų bendruomenė buvo nusitaikyta kenkėjiškų veikėjų, užpuolusių programinės įrangos tiekimo grandinę.
„Top.gg GitHub“ organizacijos bendruomenė, kurią sudaro daugiau nei 170,000 XNUMX narių, buvo nusitaikyta nuo kenkėjiškų veikėjų, kurie atakavo programinės įrangos tiekimo grandinę su įrodymais, rodančiais sėkmingą išnaudojimą, paveikiantį daugybę aukų.
Kovo 3 d. naudotojai atkreipė bendruomenės „Discord“ pokalbio „redaktorių-sintaksės“ dėmesį apie įtartiną veiklą, susietą su jo paskyra. „Redaktorius-sintaksė“ buvo šokiruotas, sužinojęs situaciją per savo GitHub sąskaitą. Paaiškėjo, kad kenkėjiška programa paveikė daugybę asmenų, o tai išryškino atakos mastą ir poveikį.
Grėsmės veikėjai šioje atakoje naudojo įvairias taktikas, metodus ir procedūras (TTP), įskaitant paskyros perėmimą per apiplėštus naršyklės slapukus, kenkėjiško kodo įterpimą su patvirtintais įsipareigojimais, pritaikyto Python veidrodžio sukūrimą ir kenkėjiškų paketų įkėlimą į PyPi registrą.
Pažymėtina, kad atakos infrastruktūra apėmė svetainę, sukurtą imituoti „Python“ paketo veidrodį, registruotą domene „failai[.]pypihosted[.]org“ – domene, skirtame pareigūnams. Pitonas veidrodis, „files.pythonhosted.org“, įprasta PyPi paketo artefaktų failų saugykla. Pavojingi veikėjai taip pat pasinaudojo plačiai naudojamu įrankiu „Colorama“, kurį per mėnesį atsisiunčiama daugiau nei 150 mln. kartų, dubliuodami jį ir įvesdami kenkėjišką kodą. Jie uždengė kenksmingą naudingą apkrovą Koloramoje naudodami tarpinį užpildą ir priglaudė šią pakeistą versiją savo netikrame veidrodyje su klaidintu domenu. Be to, užpuolikai galėjo pasiekti ne tik kenkėjiškų saugyklų kūrimą per savo paskyras. Jie užgrobė aukštos reputacijos „GitHub“ paskyras ir panaudojo su tomis paskyromis susijusius išteklius, kad padarytų kenkėjiškus įsipareigojimus.
Užpuolikai ne tik platino kenkėjiškas programas per kenkėjiškas „GitHub“ saugyklas, bet ir panaudojo kenkėjišką „Python“ paketą „yocolor“, kad platintų „colorama“ paketą, kuriame yra kenkėjiška programa. Naudodami tą pačią spausdinimo techniką, blogi veikėjai priglobė kenkėjišką paketą domene „files[.]pypihosted[.]org“ ir naudojo identišką teisėto „colorama“ paketo pavadinimą.
Manipuliuodamas paketo diegimo procesu ir išnaudodamas vartotojų pasitikėjimą Python paketo ekosistemoje, užpuolikas užtikrino, kad kenkėjiškas paketas „colorama“ būtų įdiegtas, kai projekto reikalavimuose bus nurodyta kenkėjiška priklausomybė. Ši taktika leido užpuolikui apeiti įtarimus ir įsiskverbti į nieko neįtariančių kūrėjų, kurie pasitikėjo Python pakavimo sistemos vientisumu, sistemas.
„SlowMist CISO“ atskleidžia platų kenkėjiškų programų duomenų ištraukimą iš populiarių programų
Pagal „SlowMist“ Vyriausiasis informacijos saugos pareigūnas „23pds“, kenkėjiška programa buvo nukreipta į daugelį populiarių programinės įrangos programų, išgaudama slaptus duomenis, pvz., kriptovaliutų piniginės informaciją, „Discord“ duomenis, naršyklės duomenis, „Telegram“ seansus ir kt.
Kuriame yra sąrašas kriptovaliutos piniginės skirta vagystei iš aukos sistemos, kenkėjiška programa ieškojo katalogų, susietų su kiekviena pinigine, ir stengėsi išgauti su pinigine susijusius failus. Vėliau apiplėšti piniginės duomenys buvo suspausti į ZIP failus ir perduoti užpuoliko serveriui.
Kenkėjiška programa taip pat bandė pavogti pranešimų siuntimo programą Telegram seanso duomenis, nuskaitydami katalogus ir failus, susietus su „Telegram“. Gavęs prieigą prie „Telegram“ seansų, užpuolikas galėjo neteisėtai patekti į aukos „Telegram“ paskyrą ir bendrauti.
Ši kampanija parodo sudėtingą taktiką, kurią piktybiški veikėjai naudoja platindami kenkėjiškas programas per patikimas platformas, tokias kaip PyPI ir GitHub. Neseniai įvykęs Top.gg incidentas pabrėžia budrumo svarbą diegiant paketus ir saugyklas, net ir iš patikimų šaltinių.
Atsakomybės neigimas
Remdamasi tuo, Pasitikėjimo projekto gairės, atkreipkite dėmesį, kad šiame puslapyje pateikta informacija nėra skirta ir neturėtų būti aiškinama kaip teisinė, mokesčių, investicinė, finansinė ar bet kokia kita konsultacija. Svarbu investuoti tik tai, ką galite sau leisti prarasti, ir, jei turite kokių nors abejonių, kreiptis į nepriklausomą finansinę konsultaciją. Norėdami gauti daugiau informacijos, siūlome peržiūrėti taisykles ir nuostatas bei pagalbos ir palaikymo puslapius, kuriuos pateikia išdavėjas arba reklamuotojas. MetaversePost yra įsipareigojusi teikti tikslias, nešališkas ataskaitas, tačiau rinkos sąlygos gali keistis be įspėjimo.
Apie autorių
Alisa, atsidavusi žurnalistė MPost, specializuojasi kriptovaliutų, nulinių žinių įrodymų, investicijų ir plataus masto Web3. Akylai žvelgdama į naujas tendencijas ir technologijas, ji pateikia išsamią informaciją, kad informuotų ir įtrauktų skaitytojus į nuolat besikeičiančią skaitmeninių finansų aplinką.
Daugiau straipsnių
Alisa, atsidavusi žurnalistė MPost, specializuojasi kriptovaliutų, nulinių žinių įrodymų, investicijų ir plataus masto Web3. Akylai žvelgdama į naujas tendencijas ir technologijas, ji pateikia išsamią informaciją, kad informuotų ir įtrauktų skaitytojus į nuolat besikeičiančią skaitmeninių finansų aplinką.
