Kwaadaardige aanval treft meer dan 170,000 Top.gg-gebruikers via valse Python-infrastructuur
In het kort
Top.gg GitHub-organisatie 170,000 gebruikersgemeenschap werd het doelwit van kwaadwillende actoren bij een aanval op de softwaretoeleveringsketen.
De Top.gg GitHub-organisatiegemeenschap, bestaande uit meer dan 170,000 leden, werd het doelwit van kwaadwillende actoren bij een aanval op de softwaretoeleveringsketen, waarbij bewijsmateriaal suggereerde dat er sprake was van succesvolle exploitatie, met gevolgen voor meerdere slachtoffers.
Op 3 maart brachten gebruikers via de Discord-chat van de community onder de aandacht van “editor-syntaxis” over verdachte activiteiten die aan zijn account waren gekoppeld. “editor-syntaxis” was geschokt toen hij de situatie via de zijne ontdekte GitHub rekening. Het werd duidelijk dat de malware talloze individuen had getroffen, wat de omvang en impact van de aanval benadrukte.
De bedreigingsactoren gebruikten verschillende tactieken, technieken en procedures (TTP's) bij deze aanval, waaronder het overnemen van accounts via gestolen browsercookies, het invoegen van kwaadaardige code met geverifieerde commits, het opzetten van een aangepaste Python-mirror en het uploaden van kwaadaardige pakketten naar het PyPi-register.
De aanvalsinfrastructuur omvatte met name een website die was ontworpen om een Python-pakketspiegel na te bootsen, geregistreerd onder het domein “files[.]pypihosted[.]org” – het domein dat zich richt op de officiële Python mirror, "files.pythonhosted.org", de gebruikelijke opslagplaats voor het opslaan van PyPi-pakketartefactbestanden. De bedreigingsactoren maakten ook gebruik van Colorama, een veelgebruikte tool met meer dan 150 miljoen downloads per maand, door het te dupliceren en kwaadaardige code te injecteren. Ze verdoezelden de schadelijke lading binnen Colorama door spatiëring te gebruiken en hostten deze gewijzigde versie op hun nep-spiegel met typosquatted-domein. Bovendien ging het bereik van de aanvallers verder dan het creëren van kwaadaardige opslagplaatsen via hun accounts. Ze kaapten GitHub-accounts met een hoge reputatie en gebruikten de bronnen die aan die accounts waren gekoppeld om kwaadaardige commits uit te voeren.
Naast het verspreiden van de malware via kwaadaardige GitHub-opslagplaatsen, gebruikten de aanvallers ook een kwaadaardig Python-pakket, “yocolor”, om het “colorama”-pakket met de malware te verspreiden. Door gebruik te maken van dezelfde typosquatting-techniek hostten kwaadwillenden het kwaadaardige pakket op het domein “files[.]pypihosted[.]org” en gebruikten ze een identieke naam als het legitieme “colorama”-pakket.
Door het pakketinstallatieproces te manipuleren en misbruik te maken van het vertrouwen dat gebruikers stellen in het Python-pakketecosysteem, zorgde de aanvaller ervoor dat het kwaadaardige “colorama”-pakket zou worden geïnstalleerd wanneer de kwaadaardige afhankelijkheid werd gespecificeerd in de vereisten van het project. Deze tactiek stelde de aanvaller in staat om verdenkingen te omzeilen en de systemen van nietsvermoedende ontwikkelaars te infiltreren die vertrouwden op de integriteit van het Python-verpakkingssysteem.
SlowMist CISO onthult de uitgebreide data-extractie van malware uit populaire applicaties
Think slowmist Chief Information Security Officer “23pds”, de malware richtte zich op veel populaire softwareapplicaties en extraheerde gevoelige gegevens zoals cryptocurrency-portemonnee-informatie, Discord-gegevens, browsergegevens, Telegram-sessies en meer.
Bevat de lijst van cryptocurrency wallets De malware was gericht op diefstal uit het systeem van het slachtoffer en scande op mappen die aan elke portemonnee waren gekoppeld en probeerde portemonnee-gerelateerde bestanden te extraheren. Vervolgens werden de gestolen portefeuillegegevens gecomprimeerd tot ZIP-bestanden en verzonden naar de server van de aanvaller.
De malware probeerde ook de berichtentoepassing te stelen Telegram sessiegegevens door te zoeken naar mappen en bestanden die aan Telegram zijn gekoppeld. Door toegang te krijgen tot Telegram-sessies heeft de aanvaller mogelijk ongeoorloofde toegang verkregen tot het Telegram-account en de communicatie van het slachtoffer.
Deze campagne is een voorbeeld van de geavanceerde tactieken die kwaadwillende actoren gebruiken om malware te verspreiden via vertrouwde platforms zoals PyPI en GitHub. Het recente Top.gg-incident benadrukt het belang van waakzaamheid bij het installeren van pakketten en repository's, zelfs van gerenommeerde bronnen.
Disclaimer
In lijn met de Richtlijnen voor vertrouwensprojectenHoud er rekening mee dat de informatie op deze pagina niet bedoeld is en niet mag worden geïnterpreteerd als juridisch, fiscaal, beleggings-, financieel of enige andere vorm van advies. Het is belangrijk om alleen te beleggen wat u zich kunt veroorloven te verliezen en onafhankelijk financieel advies in te winnen als u twijfels heeft. Voor meer informatie raden wij u aan de algemene voorwaarden en de hulp- en ondersteuningspagina's van de uitgever of adverteerder te raadplegen. MetaversePost streeft naar nauwkeurige, onpartijdige berichtgeving, maar de marktomstandigheden kunnen zonder voorafgaande kennisgeving worden gewijzigd.
Over de auteur
Alisa, een toegewijd journalist bij de MPost, is gespecialiseerd in cryptocurrency, zero-knowledge proofs, investeringen en het uitgebreide domein van Web3. Met een scherp oog voor opkomende trends en technologieën levert ze uitgebreide berichtgeving om lezers te informeren en te betrekken bij het steeds evoluerende landschap van digitale financiën.
Meer artikelen
Alisa, een toegewijd journalist bij de MPost, is gespecialiseerd in cryptocurrency, zero-knowledge proofs, investeringen en het uitgebreide domein van Web3. Met een scherp oog voor opkomende trends en technologieën levert ze uitgebreide berichtgeving om lezers te informeren en te betrekken bij het steeds evoluerende landschap van digitale financiën.
