Ataque malicioso atinge mais de 170,000 usuários do Top.gg por meio de infraestrutura Python falsa
Em Breve
A comunidade de 170,000 usuários da organização Top.gg GitHub foi alvo de agentes mal-intencionados em um ataque à cadeia de fornecimento de software.
A comunidade organizacional Top.gg GitHub, composta por mais de 170,000 membros, foi alvo de agentes mal-intencionados em um ataque à cadeia de fornecimento de software com evidências sugerindo exploração bem-sucedida, impactando múltiplas vítimas.
No dia 3 de março, usuários chamaram a atenção do “editor-syntax” no chat da comunidade Discord sobre atividades suspeitas vinculadas à sua conta. “editor-sintaxe” ficou chocado ao descobrir a situação através de seu GitHub conta. Tornou-se evidente que o malware afetou vários indivíduos, destacando a extensão e o impacto do ataque.
Os atores da ameaça empregaram várias táticas, técnicas e procedimentos (TTPs) neste ataque, que incluíram o controle de contas por meio de cookies de navegador roubados, inserção de código malicioso com commits verificados, estabelecimento de um espelho Python personalizado e upload de pacotes maliciosos para o registro PyPi.
Notavelmente, a infraestrutura de ataque abrangia um site projetado para imitar um espelho de pacote Python, registrado sob o domínio “files[.]pypihosted[.]org” – o domínio direcionado ao site oficial Python mirror, “files.pythonhosted.org,” o repositório usual para armazenar arquivos de artefatos do pacote PyPi. Os cibercriminosos também roubaram o Colorama, uma ferramenta amplamente utilizada com mais de 150 milhões de downloads mensais, duplicando-a e injetando código malicioso. Eles obscureceram a carga prejudicial dentro do Colorama usando preenchimento de espaço e hospedaram esta versão alterada em seu espelho falso de domínio typosquatted. Além disso, o alcance dos atacantes foi além da criação de repositórios maliciosos através das suas contas. Eles sequestraram contas do GitHub com grande reputação e utilizaram os recursos associados a essas contas para fazer commits maliciosos.
Além de espalhar o malware por meio de repositórios maliciosos do GitHub, os invasores também utilizaram um pacote Python malicioso, “yocolor”, para distribuir o pacote “colorama” que contém o malware. Empregando a mesma técnica de typosquatting, os malfeitores hospedaram o pacote malicioso no domínio “files[.]pypihosted[.]org” e usaram um nome idêntico ao pacote legítimo “colorama”.
Ao manipular o processo de instalação do pacote e explorar a confiança que os usuários depositam no ecossistema de pacotes Python, o invasor garantiu que o pacote malicioso “colorama” seria instalado sempre que a dependência maliciosa fosse especificada nos requisitos do projeto. Essa tática permitiu que o invasor contornasse as suspeitas e se infiltrasse nos sistemas de desenvolvedores desavisados que confiavam na integridade do sistema de empacotamento Python.
CISO da SlowMist revela a extensa extração de dados de aplicativos populares por malware
De acordo com o slowmist Diretor de segurança da informação “23pds”, o malware tinha como alvo muitos aplicativos de software populares, extraindo dados confidenciais, como informações de carteira de criptomoeda, dados do Discord, dados do navegador, sessões do Telegram e muito mais.
Contendo a lista de carteiras de criptomoeda direcionado para roubo do sistema da vítima, o malware procurava diretórios vinculados a cada carteira e tentava extrair arquivos relacionados à carteira. Posteriormente, os dados da carteira furtada foram compactados em arquivos ZIP e transmitidos ao servidor do invasor.
O malware também tentou roubar aplicativo de mensagens Telegram dados da sessão verificando diretórios e arquivos vinculados ao Telegram. Ao obter acesso às sessões do Telegram, o invasor pode ter obtido entrada não autorizada na conta e nas comunicações do Telegram da vítima.
Esta campanha exemplifica as táticas sofisticadas que os agentes mal-intencionados usam para distribuir malware através de plataformas confiáveis, como PyPI e GitHub. O recente incidente do Top.gg destaca a importância da vigilância ao instalar pacotes e repositórios, mesmo de fontes confiáveis.
Aviso Legal
Em linha com a Diretrizes do Projeto Trust, observe que as informações fornecidas nesta página não se destinam e não devem ser interpretadas como aconselhamento jurídico, tributário, de investimento, financeiro ou qualquer outra forma. É importante investir apenas o que você pode perder e procurar aconselhamento financeiro independente se tiver alguma dúvida. Para mais informações, sugerimos consultar os termos e condições, bem como as páginas de ajuda e suporte fornecidas pelo emissor ou anunciante. MetaversePost está comprometida com relatórios precisos e imparciais, mas as condições de mercado estão sujeitas a alterações sem aviso prévio.
Sobre o autor
Alisa, jornalista dedicada do MPost, é especializada em criptomoedas, provas de conhecimento zero, investimentos e no vasto reino de Web3. Com um olhar atento às tendências e tecnologias emergentes, ela oferece uma cobertura abrangente para informar e envolver os leitores no cenário em constante evolução das finanças digitais.
Mais artigos
Alisa, jornalista dedicada do MPost, é especializada em criptomoedas, provas de conhecimento zero, investimentos e no vasto reino de Web3. Com um olhar atento às tendências e tecnologias emergentes, ela oferece uma cobertura abrangente para informar e envolver os leitores no cenário em constante evolução das finanças digitais.
