Złośliwy atak atakuje ponad 170,000 XNUMX użytkowników Top.gg za pośrednictwem fałszywej infrastruktury Python
W skrócie
Top.gg Organizacja GitHub 170,000 XNUMX społeczności użytkowników stała się celem złośliwych podmiotów w ataku na łańcuch dostaw oprogramowania.
Społeczność organizacji Top.gg GitHub, składająca się z ponad 170,000 XNUMX członków, stała się celem złośliwych podmiotów w wyniku ataku na łańcuch dostaw oprogramowania, którego dowody wskazywały na udane wykorzystanie oprogramowania, wpływające na wiele ofiar.
3 marca użytkownicy zwrócili uwagę na „składnię edytora” na czacie społeczności na Discordzie na temat podejrzanych działań powiązanych z jego kontem. „Składnia redaktora” była zszokowana, gdy odkryła sytuację za jego pośrednictwem GitHub konto. Okazało się, że złośliwe oprogramowanie dotknęło wiele osób, co uwydatniło zasięg i skutki ataku.
Osoby zagrażające zastosowały w tym ataku różne taktyki, techniki i procedury (TTP), które obejmowały przejęcie konta za pomocą skradzionych plików cookie przeglądarki, wstawienie złośliwego kodu ze zweryfikowanymi zatwierdzeniami, utworzenie dostosowanego serwera lustrzanego Pythona i przesłanie złośliwych pakietów do rejestru PyPi.
Warto zauważyć, że infrastruktura ataku obejmowała witrynę internetową zaprojektowaną w celu naśladowania kopii lustrzanej pakietu Pythona, zarejestrowaną w domenie „files[.]pypihosted[.]org” – domenie skierowanej do oficjalnego Python lustro, „files.pythonhosted.org”, zwykłe repozytorium do przechowywania plików artefaktów pakietów PyPi. Przestępcy wykorzystali także Coloramę, powszechnie używane narzędzie z ponad 150 milionami pobrań miesięcznie, powielając je i wstrzykiwając złośliwy kod. Zasłonili szkodliwy ładunek w Koloramie, używając spacji i umieścili tę zmienioną wersję na swoim fałszywym lustrze z typosquatted-domeną. Co więcej, zasięg atakujących wykraczał poza tworzenie złośliwych repozytoriów za pośrednictwem swoich kont. Porywali cieszące się dobrą reputacją konta GitHub i wykorzystywali zasoby powiązane z tymi kontami do dokonywania złośliwych zatwierdzeń.
Oprócz rozprzestrzeniania szkodliwego oprogramowania za pośrednictwem złośliwych repozytoriów GitHub, napastnicy wykorzystali także złośliwy pakiet Pythona „yocolor” do dystrybucji pakietu „colorama” zawierającego złośliwe oprogramowanie. Stosując tę samą technikę typosquattingu, nieuczciwi aktorzy hostowali szkodliwy pakiet w domenie „files[.]pypihosted[.]org” i używali identycznej nazwy jak legalny pakiet „colorama”.
Manipulując procesem instalacji pakietu i wykorzystując zaufanie, jakie użytkownicy pokładają w ekosystemie pakietów Pythona, osoba atakująca zapewniła, że złośliwy pakiet „colorama” zostanie zainstalowany za każdym razem, gdy w wymaganiach projektu określono szkodliwą zależność. Ta taktyka umożliwiła atakującemu ominięcie podejrzeń i infiltrację systemów niczego niepodejrzewających programistów, którzy polegali na integralności systemu pakowania Pythona.
SlowMist CISO ujawnia rozległe wyodrębnianie danych przez złośliwe oprogramowanie z popularnych aplikacji
Zgodnie z Powolna Mgła Dyrektor ds. bezpieczeństwa informacji „23pds” złośliwe oprogramowanie atakowało wiele popularnych aplikacji, wydobywając wrażliwe dane, takie jak informacje o portfelu kryptowalut, dane Discord, dane przeglądarki, sesje Telegramu i inne.
Zawierający listę portfele kryptowalutowe ukierunkowany na kradzież z systemu ofiary, szkodliwy program skanował w poszukiwaniu katalogów powiązanych z każdym portfelem i próbował wyodrębnić pliki powiązane z portfelem. Następnie dane skradzionego portfela zostały skompresowane do plików ZIP i przesłane na serwer osoby atakującej.
Szkodnik próbował także ukraść aplikację do przesyłania wiadomości Telegram dane sesji, skanując katalogi i pliki powiązane z Telegramem. Uzyskując dostęp do sesji Telegramu, osoba atakująca mogła uzyskać nieautoryzowany dostęp do konta Telegramu i komunikacji ofiary.
Ta kampania stanowi przykład wyrafinowanej taktyki stosowanej przez złośliwych aktorów do dystrybucji złośliwego oprogramowania za pośrednictwem zaufanych platform, takich jak PyPI i GitHub. Niedawny incydent z Top.gg podkreśla znaczenie czujności podczas instalowania pakietów i repozytoriów, nawet z renomowanych źródeł.
Odpowiedzialność
Zgodnie z Zaufaj wytycznym projektu, należy pamiętać, że informacje zawarte na tej stronie nie mają na celu i nie powinny być interpretowane jako porady prawne, podatkowe, inwestycyjne, finansowe lub jakiekolwiek inne formy porad. Ważne jest, aby inwestować tylko tyle, na utratę czego możesz sobie pozwolić, a w przypadku jakichkolwiek wątpliwości zasięgnąć niezależnej porady finansowej. Aby uzyskać więcej informacji, sugerujemy zapoznać się z warunkami oraz stronami pomocy i wsparcia udostępnianymi przez wydawcę lub reklamodawcę. MetaversePost zobowiązuje się do sporządzania dokładnych i bezstronnych raportów, jednakże warunki rynkowe mogą ulec zmianie bez powiadomienia.
O autorze
Alisa, oddana dziennikarka w MPost, specjalizuje się w kryptowalutach, dowodach wiedzy zerowej, inwestycjach i ekspansywnej dziedzinie Web3. Ze szczególnym uwzględnieniem pojawiających się trendów i technologii zapewnia wszechstronne informacje, aby informować czytelników i angażować ich w stale zmieniający się krajobraz finansów cyfrowych.
Więcej artykułów
Alisa, oddana dziennikarka w MPost, specjalizuje się w kryptowalutach, dowodach wiedzy zerowej, inwestycjach i ekspansywnej dziedzinie Web3. Ze szczególnym uwzględnieniem pojawiających się trendów i technologii zapewnia wszechstronne informacje, aby informować czytelników i angażować ich w stale zmieniający się krajobraz finansów cyfrowych.
