Ļaunprātīgi uzbrukumi uzbrūk vairāk nekā 170,000 XNUMX Top.gg lietotāju, izmantojot viltus Python infrastruktūru
Īsumā
Top.gg GitHub organizācijas 170,000 XNUMX lietotāju kopiena tika vērsta pret ļaunprātīgu dalībnieku uzbrukumā programmatūras piegādes ķēdei.
Top.gg GitHub organizācijas kopiena, kurā ir vairāk nekā 170,000 XNUMX dalībnieku, tika vērsta pret ļaunprātīgu dalībnieku uzbrukumu programmatūras piegādes ķēdei ar pierādījumiem, kas liecina par veiksmīgu izmantošanu, ietekmējot vairākus upurus.
3. martā lietotāji kopienas Discord tērzēšanā vērsa uzmanību uz “redaktoru-sintakse” par aizdomīgām darbībām, kas saistītas ar viņa kontu. “Redaktors-sintakse” bija šokēts, atklājot situāciju ar viņa starpniecību GitHub konts. Kļuva skaidrs, ka ļaunprogrammatūra ir skārusi daudzas personas, uzsverot uzbrukuma apjomu un ietekmi.
Šajā uzbrukumā draudu dalībnieki izmantoja dažādas taktikas, paņēmienus un procedūras (TTP), kas ietvēra konta pārņemšanu, izmantojot zagtus pārlūkprogrammas sīkfailus, ļaunprātīga koda ievietošanu ar pārbaudītām saistībām, pielāgota Python spoguļa izveidi un ļaunprātīgu pakotņu augšupielādi PyPi reģistrā.
Proti, uzbrukuma infrastruktūra ietvēra vietni, kas izstrādāta, lai atdarinātu Python pakotnes spoguli, kas reģistrēta domēnā “faili[.]pypihosted[.]org” — domēns, kura mērķauditorija ir amatpersona. Pitons spogulis, “files.pythonhosted.org”, parastā krātuve PyPi pakotnes artefaktu failu glabāšanai. Apdraudējuma dalībnieki arī paņēma Colorama, plaši izmantotu rīku ar vairāk nekā 150 miljoniem ikmēneša lejupielāžu, dublējot to un ievadot ļaunprātīgu kodu. Viņi aizēnoja kaitīgo slodzi Kolorāmā, izmantojot atstarpes polsterējumu, un izvietoja šo mainīto versiju savā drukas domēna viltotajā spogulī. Turklāt uzbrucēju sasniedzamība pārsniedza ļaunprātīgu krātuvju izveidi, izmantojot savus kontus. Viņi nolaupīja GitHub kontus ar augstu reputāciju un izmantoja ar šiem kontiem saistītos resursus, lai veiktu ļaunprātīgas darbības.
Papildus ļaunprogrammatūras izplatīšanai, izmantojot ļaunprātīgas GitHub krātuves, uzbrucēji izmantoja arī ļaunprātīgu Python pakotni “yocolor”, lai izplatītu pakotni “colorama”, kas satur ļaunprātīgu programmatūru. Izmantojot to pašu drukas paņēmienu, slikti dalībnieki mitināja ļaunprātīgo pakotni domēnā “faili[.]pypihosted[.]org” un izmantoja identisku nosaukumu likumīgajai pakotnei “colorama”.
Manipulējot ar pakotnes instalēšanas procesu un izmantojot Python pakotņu ekosistēmā esošo lietotāju uzticību, uzbrucējs nodrošināja, ka ļaunprātīgā “colorama” pakotne tiks instalēta ikreiz, kad projekta prasībās tika norādīta ļaunprātīgā atkarība. Šī taktika ļāva uzbrucējam apiet aizdomas un iefiltrēties nenojaušot izstrādātāju sistēmās, kuri paļāvās uz Python iepakošanas sistēmas integritāti.
SlowMist CISO atklāj ļaunprātīgas programmatūras plašo datu ieguvi no populārām lietojumprogrammām
Saskaņā ar Lēnais pults Galvenais informācijas drošības speciālists “23pds”, ļaunprogrammatūra bija vērsta uz daudzām populārām programmatūras lietojumprogrammām, iegūstot sensitīvus datus, piemēram, kriptovalūtas maka informāciju, Discord datus, pārlūkprogrammas datus, telegrammas sesijas un daudz ko citu.
Satur sarakstu ar kriptovalūtas maki Mērķtiecīgi pret zādzībām no upura sistēmas, ļaunprogrammatūra meklēja direktorijus, kas saistīti ar katru maku, un centās izvilkt ar maku saistītus failus. Pēc tam nozagtie maka dati tika saspiesti ZIP failos un pārsūtīti uz uzbrucēja serveri.
Ļaunprātīga programmatūra arī mēģināja nozagt ziņojumapmaiņas lietojumprogrammu Telegram sesijas datus, skenējot direktorijus un failus, kas saistīti ar Telegram. Iegūstot piekļuvi Telegram sesijām, uzbrucējs varēja nesankcionēti iekļūt upura Telegram kontā un saziņā.
Šī kampaņa ilustrē izsmalcinātu taktiku, ko ļaunprātīgi dalībnieki izmanto, lai izplatītu ļaunprātīgu programmatūru, izmantojot uzticamas platformas, piemēram, PyPI un GitHub. Nesenais Top.gg incidents uzsver modrības nozīmi, instalējot pakotnes un repozitorijus, pat no cienījamiem avotiem.
Atbildības noraidīšana
Atbilstīgi Uzticības projekta vadlīnijas, lūdzu, ņemiet vērā, ka šajā lapā sniegtā informācija nav paredzēta un to nedrīkst interpretēt kā juridisku, nodokļu, ieguldījumu, finanšu vai jebkāda cita veida padomu. Ir svarīgi ieguldīt tikai to, ko varat atļauties zaudēt, un meklēt neatkarīgu finanšu padomu, ja jums ir šaubas. Lai iegūtu papildinformāciju, iesakām skatīt pakalpojumu sniegšanas noteikumus, kā arī palīdzības un atbalsta lapas, ko nodrošina izdevējs vai reklāmdevējs. MetaversePost ir apņēmies sniegt precīzus, objektīvus pārskatus, taču tirgus apstākļi var tikt mainīti bez iepriekšēja brīdinājuma.
Par Autors
Alisa, veltīta žurnāliste MPost, specializējas kriptovalūtā, nulles zināšanu pierādījumos, investīcijās un plašā jomā Web3. Ar lielu uzmanību jaunām tendencēm un tehnoloģijām, viņa sniedz visaptverošu informāciju, lai informētu un iesaistītu lasītājus nepārtraukti mainīgajā digitālo finanšu vidē.
Vairāk rakstusAlisa, veltīta žurnāliste MPost, specializējas kriptovalūtā, nulles zināšanu pierādījumos, investīcijās un plašā jomā Web3. Ar lielu uzmanību jaunām tendencēm un tehnoloģijām, viņa sniedz visaptverošu informāciju, lai informētu un iesaistītu lasītājus nepārtraukti mainīgajā digitālo finanšu vidē.