Un atac rău intenționat lovește peste 170,000 de utilizatori Top.gg prin intermediul unei infrastructuri false Python
Pe scurt
Organizația Top.gg GitHub, o comunitate de 170,000 de utilizatori a fost vizată de actori rău intenționați într-un atac asupra lanțului de aprovizionare cu software.
Comunitatea organizațională Top.gg GitHub, care cuprinde peste 170,000 de membri, a fost vizată de actori rău intenționați într-un atac asupra lanțului de aprovizionare a software-ului, cu dovezi care sugerează o exploatare de succes, cu impact asupra mai multor victime.
Pe 3 martie, utilizatorii au adus în atenția „sintaxei editorului” pe chat-ul Discord al comunității despre activități suspecte legate de contul său. „editor-sintaxă” a fost șocat la descoperirea situației prin intermediul lui GitHub cont. A devenit evident că malware-ul a afectat numeroase persoane, evidențiind amploarea și impactul atacului.
Actorii amenințărilor au folosit diverse tactici, tehnici și proceduri (TTP) în acest atac, care au inclus preluarea contului prin cookie-uri furate de browser, inserarea de cod rău intenționat cu comitere verificate, stabilirea unei oglinzi Python personalizată și încărcarea pachetelor rău intenționate în registrul PyPi.
În special, infrastructura de atac a cuprins un site web conceput să imite o oglindă a unui pachet Python, înregistrat sub domeniul „fișiere[.]pypihosted[.]org” – domeniul care vizează oficialul Piton oglindă, „files.pythonhosted.org”, depozitul obișnuit pentru stocarea fișierelor artefacte ale pachetului PyPi. Actorii amenințărilor au preluat și Colorama, un instrument utilizat pe scară largă, cu peste 150 de milioane de descărcări lunare, duplicând-l și injectând cod rău intenționat. Ei au ascuns încărcătura utilă dăunătoare din Colorama folosind spațiul de umplutură și au găzduit această versiune modificată pe oglinda falsă a domeniului typosquatted. Mai mult, raza atacatorilor a mers dincolo de crearea de depozite rău intenționate prin conturile lor. Ei au deturnat conturi GitHub cu o reputație înaltă și au folosit resursele asociate acestor conturi pentru a efectua comiteri rău intenționate.
Pe lângă răspândirea malware-ului prin depozitele GitHub rău intenționate, atacatorii au folosit și un pachet Python rău intenționat, „yocolor”, pentru a distribui pachetul „colorama” care conținea malware-ul. Folosind aceeași tehnică de typosquatting, actorii rele au găzduit pachetul rău intenționat pe domeniul „fișiere[.]pypihosted[.]org” și au folosit un nume identic cu pachetul legitim „colorama”.
Prin manipularea procesului de instalare a pachetului și exploatarea încrederii pe care utilizatorii o au în ecosistemul pachetelor Python, atacatorul s-a asigurat că pachetul rău intenționat „colorama” va fi instalat ori de câte ori dependența rău intenționată a fost specificată în cerințele proiectului. Această tactică a permis atacatorului să ocolească suspiciunile și să se infiltreze în sistemele dezvoltatorilor nebănuiți care s-au bazat pe integritatea sistemului de ambalare Python.
SlowMist CISO dezvăluie extragerea extinsă de date a programelor malware din aplicații populare
În conformitate cu Ceață lentă Chief Information Security Officer „23pds”, malware-ul a vizat multe aplicații software populare, extragând date sensibile, cum ar fi informații despre portofelul criptomonede, date Discord, date browser, sesiuni Telegram și multe altele.
Conținând lista de portofele de criptare vizat pentru furt din sistemul victimei, malware-ul a scanat pentru directoare legate de fiecare portofel și s-a străduit să extragă fișiere legate de portofel. Ulterior, datele portofelului furate au fost comprimate în fișiere ZIP și transmise la serverul atacatorului.
Malware-ul a încercat, de asemenea, să fure aplicația de mesagerie Telegramă datele sesiunii prin scanarea directoarelor și fișierelor legate de Telegram. Obținând acces la sesiunile Telegram, atacatorul ar fi putut obține intrare neautorizată în contul și comunicațiile Telegram ale victimei.
Această campanie exemplifică tacticile sofisticate pe care le folosesc actorii rău intenționați pentru a distribui malware prin platforme de încredere, cum ar fi PyPI și GitHub. Recentul incident Top.gg evidențiază importanța vigilenței atunci când se instalează pachete și depozite, chiar și din surse de renume.
Declinare a responsabilităţii
În conformitate cu Ghidurile proiectului Trust, vă rugăm să rețineți că informațiile furnizate pe această pagină nu sunt destinate și nu trebuie interpretate ca fiind consiliere juridică, fiscală, investițională, financiară sau orice altă formă de consiliere. Este important să investești doar ceea ce îți poți permite să pierzi și să cauți sfaturi financiare independente dacă ai îndoieli. Pentru informații suplimentare, vă sugerăm să consultați termenii și condițiile, precum și paginile de ajutor și asistență furnizate de emitent sau agent de publicitate. MetaversePost se angajează să raporteze corecte, imparțial, dar condițiile de piață pot fi modificate fără notificare.
Despre autor
Alisa, o jurnalistă dedicată la MPost, este specializată în criptomonede, dovezi fără cunoștințe, investiții și tărâmul expansiv al Web3. Cu un ochi aprofundat pentru tendințele și tehnologiile emergente, ea oferă o acoperire cuprinzătoare pentru a informa și a implica cititorii în peisajul în continuă evoluție al finanțelor digitale.
Mai multe articoleAlisa, o jurnalistă dedicată la MPost, este specializată în criptomonede, dovezi fără cunoștințe, investiții și tărâmul expansiv al Web3. Cu un ochi aprofundat pentru tendințele și tehnologiile emergente, ea oferă o acoperire cuprinzătoare pentru a informa și a implica cititorii în peisajul în continuă evoluție al finanțelor digitale.