Вредоносная атака затронула более 170,000 XNUMX пользователей Top.gg через поддельную инфраструктуру Python
Коротко
Сообщество Top.gg GitHub, насчитывающее 170,000 XNUMX пользователей, подверглось атаке злоумышленников на цепочку поставок программного обеспечения..
Сообщество организации Top.gg GitHub, насчитывающее более 170,000 XNUMX участников, стало мишенью злоумышленников в ходе атаки на цепочку поставок программного обеспечения, при этом имеются доказательства, свидетельствующие об успешной эксплуатации, повлиявшей на множество жертв.
3 марта пользователи обратили внимание «редактора-синтаксиса» в чате сообщества Discord на подозрительные действия, связанные с его аккаунтом. «редактор-синтаксис» был потрясен, узнав о ситуации через своего GitHub счет. Стало очевидно, что вредоносное ПО затронуло множество людей, что подчеркивает масштабы и последствия атаки.
В этой атаке злоумышленники использовали различные тактики, методы и процедуры (TTP), которые включали захват учетных записей с помощью украденных файлов cookie браузера, вставку вредоносного кода с проверенными коммитами, установку настраиваемого зеркала Python и загрузку вредоносных пакетов в реестр PyPi.
Примечательно, что инфраструктура атаки включала в себя веб-сайт, имитирующий зеркало пакета Python, зарегистрированный в домене «files[.]pypihosted[.]org» — домене, нацеленном на официальный Питон зеркало, «files.pythonhosted.org», обычный репозиторий для хранения файлов артефактов пакета PyPi. Злоумышленники также воспользовались Colorama, широко используемым инструментом, который ежемесячно загружают более 150 миллионов раз, путем его дублирования и внедрения вредоносного кода. Они скрыли вредоносную полезную нагрузку в Colorama, используя пробелы, и разместили эту измененную версию на своем поддельном зеркале с типографским доменом. Более того, возможности злоумышленников не ограничиваются созданием вредоносных хранилищ через их учетные записи. Они захватили учетные записи GitHub с высокой репутацией и использовали ресурсы, связанные с этими учетными записями, для совершения вредоносных коммитов.
Помимо распространения вредоносного ПО через вредоносные репозитории GitHub, злоумышленники также использовали вредоносный пакет Python «yocolor» для распространения пакета «colorama», содержащего вредоносное ПО. Используя ту же технику опечатки, злоумышленники разместили вредоносный пакет на домене «files[.]pypihosted[.]org» и использовали имя, идентичное имени законного пакета «colorama».
Манипулируя процессом установки пакета и используя доверие пользователей к экосистеме пакетов Python, злоумышленник гарантировал, что вредоносный пакет «colorama» будет установлен всякий раз, когда вредоносная зависимость будет указана в требованиях проекта. Такая тактика позволила злоумышленнику обойти подозрения и проникнуть в системы ничего не подозревающих разработчиков, полагавшихся на целостность системы упаковки Python.
SlowMist CISO раскрывает возможности обширного извлечения данных вредоносными программами из популярных приложений
По SlowMist Директор по информационной безопасности «23pds», вредоносное ПО нацелено на многие популярные программные приложения, извлекая конфиденциальные данные, такие как информация о криптовалютном кошельке, данные Discord, данные браузера, сеансы Telegram и многое другое.
Содержит список кошельки с криптовалютами Вредоносное ПО, нацеленное на кражу из системы жертвы, сканировало каталоги, связанные с каждым кошельком, и пыталось извлечь файлы, связанные с кошельком. Впоследствии данные украденного кошелька были сжаты в ZIP-файлы и переданы на сервер злоумышленника.
Вредоносное ПО также пыталось украсть приложение для обмена сообщениями. Telegram данные сеанса путем сканирования каталогов и файлов, связанных с Telegram. Получив доступ к сеансам Telegram, злоумышленник мог получить несанкционированный доступ к учетной записи Telegram и сообщениям жертвы.
Эта кампания является примером изощренной тактики, которую злоумышленники используют для распространения вредоносного ПО через доверенные платформы, такие как PyPI и GitHub. Недавний инцидент с Top.gg подчеркивает важность бдительности при установке пакетов и репозиториев, даже из надежных источников.
Отказ от ответственности
В соответствии с Руководство трастового проектаОбратите внимание, что информация, представленная на этой странице, не предназначена и не должна интерпретироваться как юридическая, налоговая, инвестиционная, финансовая или любая другая форма консультации. Важно инвестировать только то, что вы можете позволить себе потерять, и обращаться за независимой финансовой консультацией, если у вас есть какие-либо сомнения. Для получения дополнительной информации мы предлагаем обратиться к положениям и условиям, а также к страницам справки и поддержки, предоставленным эмитентом или рекламодателем. MetaversePost стремится предоставлять точную и объективную отчетность, однако рыночные условия могут быть изменены без предварительного уведомления.
Об авторе
Алиса, преданный журналист MPost, специализируется на криптовалюте, доказательствах с нулевым разглашением, инвестициях и обширной сфере Web3. Внимательно следя за новыми тенденциями и технологиями, она всесторонне освещает события, информируя и вовлекая читателей в постоянно развивающуюся среду цифровых финансов.
Другие статьи
Алиса, преданный журналист MPost, специализируется на криптовалюте, доказательствах с нулевым разглашением, инвестициях и обширной сфере Web3. Внимательно следя за новыми тенденциями и технологиями, она всесторонне освещает события, информируя и вовлекая читателей в постоянно развивающуюся среду цифровых финансов.
