Serangan Hasad Menyerang Lebih 170,000 Pengguna Top.gg Melalui Infrastruktur Python Palsu
Secara ringkas
Top.gg Organisasi GitHub 170,000 komuniti pengguna disasarkan oleh pelakon berniat jahat dalam serangan ke atas rantaian bekalan perisian.
Komuniti organisasi Top.gg GitHub, yang terdiri daripada lebih 170,000 ahli, telah disasarkan oleh pelakon berniat jahat dalam serangan ke atas rantaian bekalan perisian dengan bukti yang mencadangkan eksploitasi yang berjaya, memberi kesan kepada berbilang mangsa.
Pada 3 Mac, pengguna membawa perhatian kepada "sintaks editor" pada sembang Discord komuniti tentang aktiviti mencurigakan yang dipautkan ke akaunnya. "editor-sintaks" terkejut apabila menemui situasi itu melaluinya GitHub akaun. Ia menjadi jelas bahawa perisian hasad telah menjejaskan banyak individu, menonjolkan tahap dan kesan serangan itu.
Aktor ancaman menggunakan pelbagai Taktik, Teknik dan Prosedur (TTP) dalam serangan ini, termasuk pengambilalihan akaun melalui kuki penyemak imbas yang dicuri, memasukkan kod hasad dengan komitmen yang disahkan, mewujudkan cermin Python tersuai dan memuat naik pakej hasad ke pendaftaran PyPi.
Terutama, infrastruktur serangan merangkumi tapak web yang direka untuk meniru cermin pakej Python, yang didaftarkan di bawah domain "files[.]pypihosted[.]org"–domain yang menyasarkan Python mirror, "files.pythonhosted.org," repositori biasa untuk menyimpan fail artifak pakej PyPi. Pelakon ancaman itu juga mengambil Colorama, alat yang digunakan secara meluas dengan lebih 150 juta muat turun bulanan, dengan menduplikasinya dan menyuntik kod berniat jahat. Mereka mengaburkan muatan berbahaya dalam Colorama dengan menggunakan pelapik ruang dan mengehoskan versi yang diubah ini pada cermin palsu domain typosquatted mereka. Tambahan pula, jangkauan penyerang melangkaui mencipta repositori berniat jahat melalui akaun mereka. Mereka merampas akaun GitHub dengan reputasi tinggi dan menggunakan sumber yang dikaitkan dengan akaun tersebut untuk membuat komitmen jahat.
Selain menyebarkan perisian hasad melalui repositori GitHub yang berniat jahat, penyerang juga menggunakan pakej Python berniat jahat, "yocolor," untuk mengedarkan pakej "colorama" yang mengandungi perisian hasad. Menggunakan teknik typosquatting yang sama, pelaku jahat mengehoskan pakej berniat jahat pada domain "files[.]pypihosted[.]org" dan menggunakan nama yang sama dengan pakej "colorama" yang sah.
Dengan memanipulasi proses pemasangan pakej dan mengeksploitasi kepercayaan yang diletakkan pengguna dalam ekosistem pakej Python, penyerang memastikan bahawa pakej "colorama" berniat jahat akan dipasang apabila pergantungan berniat jahat dinyatakan dalam keperluan projek. Taktik ini membolehkan penyerang memintas syak wasangka dan menyusup ke dalam sistem pembangun yang tidak curiga yang bergantung pada integriti sistem pembungkusan Python.
SlowMist CISO Mendedahkan Pengekstrakan Data Malware yang Luas daripada Aplikasi Popular
Menurut SlowMist Ketua Pegawai Keselamatan Maklumat “23pds”, perisian hasad menyasarkan banyak aplikasi perisian popular, mengekstrak data sensitif seperti maklumat dompet mata wang kripto, data Discord, data penyemak imbas, sesi Telegram dan banyak lagi.
Mengandungi senarai dompet cryptocurrency disasarkan untuk kecurian daripada sistem mangsa, perisian hasad mengimbas direktori yang dipautkan ke setiap dompet dan berusaha untuk mengekstrak fail berkaitan dompet. Selepas itu, data dompet yang dicuri telah dimampatkan ke dalam fail ZIP dan dihantar ke pelayan penyerang.
Malware itu juga cuba mencuri aplikasi pemesejan Telegram data sesi dengan mengimbas direktori dan fail yang dipautkan ke Telegram. Dengan mendapatkan akses kepada sesi Telegram, penyerang mungkin telah mendapat kemasukan tanpa kebenaran ke dalam akaun Telegram dan komunikasi mangsa.
Kempen ini menunjukkan taktik canggih yang digunakan oleh pelakon berniat jahat untuk mengedarkan perisian hasad melalui platform yang dipercayai seperti PyPI dan GitHub. Insiden Top.gg baru-baru ini menyerlahkan kepentingan kewaspadaan semasa memasang pakej dan repositori, walaupun daripada sumber yang bereputasi.
Penafian
Selaras dengan Garis panduan Projek Amanah, sila ambil perhatian bahawa maklumat yang diberikan pada halaman ini tidak bertujuan untuk menjadi dan tidak seharusnya ditafsirkan sebagai nasihat undang-undang, cukai, pelaburan, kewangan atau sebarang bentuk nasihat lain. Adalah penting untuk hanya melabur apa yang anda mampu kehilangan dan mendapatkan nasihat kewangan bebas jika anda mempunyai sebarang keraguan. Untuk maklumat lanjut, kami mencadangkan merujuk kepada terma dan syarat serta halaman bantuan dan sokongan yang disediakan oleh pengeluar atau pengiklan. MetaversePost komited kepada laporan yang tepat dan tidak berat sebelah, tetapi keadaan pasaran tertakluk kepada perubahan tanpa notis.
Tentang Pengarang
Alisa, seorang wartawan yang berdedikasi di MPost, pakar dalam mata wang kripto, bukti pengetahuan sifar, pelaburan dan alam luas Web3. Dengan memerhatikan trend dan teknologi yang sedang muncul, beliau menyampaikan liputan komprehensif untuk memaklumkan dan melibatkan pembaca dalam landskap kewangan digital yang sentiasa berkembang.
lebih banyak artikel
Alisa, seorang wartawan yang berdedikasi di MPost, pakar dalam mata wang kripto, bukti pengetahuan sifar, pelaburan dan alam luas Web3. Dengan memerhatikan trend dan teknologi yang sedang muncul, beliau menyampaikan liputan komprehensif untuk memaklumkan dan melibatkan pembaca dalam landskap kewangan digital yang sentiasa berkembang.
