Škodlivý útok zasiahol viac ako 170,000 XNUMX používateľov Top.gg prostredníctvom falošnej infraštruktúry Pythonu
Stručne
Top.gg Organizácia GitHub 170,000 XNUMX používateľská komunita bola terčom útokov na dodávateľský reťazec softvéru.
Komunita organizácie Top.gg GitHub, ktorá pozostáva z viac ako 170,000 XNUMX členov, sa stala terčom útokov na dodávateľský reťazec softvéru so zlými úmyslami, pričom dôkazy nasvedčovali úspešnému zneužívaniu, ktoré zasiahlo viacero obetí.
3. marca používatelia upozornili na „syntax editora“ na komunitnom rozhovore Discord na podozrivé aktivity spojené s jeho účtom. „editor-syntax“ bol šokovaný, keď objavil situáciu prostredníctvom jeho GitHub účtu. Ukázalo sa, že malvér zasiahol množstvo jednotlivcov, čím sa zdôraznil rozsah a dosah útoku.
Aktéri hrozby použili pri tomto útoku rôzne taktiky, techniky a postupy (TTP), ktoré zahŕňali prevzatie účtu prostredníctvom ukradnutých súborov cookie prehliadača, vloženie škodlivého kódu s overenými potvrdeniami, vytvorenie prispôsobeného zrkadla Pythonu a nahranie škodlivých balíkov do registra PyPi.
Útočná infraštruktúra zahŕňala webovú stránku navrhnutú tak, aby napodobňovala zrkadlo balíka Python, registrovanú pod doménou „files[.]pypihosted[.]org“ – doména zameraná na oficiálne Pytón mirror, „files.pythonhosted.org“, obvyklé úložisko na ukladanie súborov artefaktov balíkov PyPi. Aktéri hrozby tiež prevzali Colorama, široko používaný nástroj s viac ako 150 miliónmi stiahnutí mesačne, jeho duplikovaním a vložením škodlivého kódu. Zakryli škodlivé užitočné zaťaženie v Colorame pomocou vesmírnej výplne a umiestnili túto upravenú verziu na svojom falošnom zrkadle s preklepom domény. Okrem toho dosah útočníkov presahoval vytváranie škodlivých úložísk prostredníctvom ich účtov. Uniesli účty GitHub s vysokou reputáciou a využili zdroje spojené s týmito účtami na vykonanie škodlivých záväzkov.
Okrem šírenia malvéru prostredníctvom škodlivých úložísk GitHub útočníci využili aj škodlivý balík Python „yocolor“ na distribúciu balíka „colorama“ obsahujúceho malvér. Používajúc rovnakú techniku preklepov, zlí herci hostili škodlivý balík na doméne „files[.]pypihosted[.]org“ a použili rovnaký názov ako legitímny balík „colorama“.
Manipuláciou s procesom inštalácie balíka a využívaním dôvery používateľov v ekosystém balíkov Python útočník zaistil, že sa škodlivý balík „colorama“ nainštaluje vždy, keď bude v požiadavkách projektu špecifikovaná škodlivá závislosť. Táto taktika umožnila útočníkovi obísť podozrenia a infiltrovať sa do systémov nič netušiacich vývojárov, ktorí sa spoliehali na integritu baliaceho systému Python.
SlowMist CISO odhaľuje rozsiahlu extrakciu údajov škodlivého softvéru z populárnych aplikácií
Podľa SlowMist Chief Information Security Officer „23pds“, malvér sa zameral na mnohé populárne softvérové aplikácie, extrahoval citlivé údaje, ako sú informácie o kryptomenovej peňaženke, údaje Discord, údaje prehliadača, relácie telegramov a ďalšie.
Obsahuje zoznam kryptomenné peňaženky Malvér zameraný na krádež zo systému obete vyhľadal adresáre spojené s každou peňaženkou a snažil sa extrahovať súbory súvisiace s peňaženkou. Následne boli dáta ukradnutej peňaženky skomprimované do súborov ZIP a prenesené na server útočníka.
Malvér sa tiež pokúsil ukradnúť aplikáciu na odosielanie správ telegram dáta relácie skenovaním adresárov a súborov prepojených s telegramom. Získaním prístupu k telegramovým reláciám mohol útočník získať neoprávnený vstup do telegramového účtu a komunikácie obete.
Táto kampaň je príkladom sofistikovanej taktiky, ktorú používajú záškodníci na distribúciu malvéru prostredníctvom dôveryhodných platforiem, ako sú PyPI a GitHub. Nedávny incident Top.gg zdôrazňuje význam ostražitosti pri inštalácii balíkov a repozitárov, a to aj z renomovaných zdrojov.
Vylúčenie zodpovednosti
V súlade s Pokyny k projektu Trust, uvedomte si, že informácie uvedené na tejto stránke nie sú zamýšľané a nemali by byť interpretované ako právne, daňové, investičné, finančné alebo iné formy poradenstva. Je dôležité investovať len toľko, koľko si môžete dovoliť stratiť a v prípade akýchkoľvek pochybností vyhľadať nezávislé finančné poradenstvo. Ak chcete získať ďalšie informácie, odporúčame vám pozrieť si zmluvné podmienky, ako aj stránky pomoci a podpory poskytnuté vydavateľom alebo inzerentom. MetaversePost sa zaviazala poskytovať presné a nezaujaté správy, ale podmienky na trhu sa môžu zmeniť bez upozornenia.
O autorovi
Alisa, oddaná novinárka v MPost, sa špecializuje na kryptomeny, dôkazy s nulovými znalosťami, investície a rozsiahlu oblasť Web3. So záujmom o nové trendy a technológie poskytuje komplexné pokrytie s cieľom informovať a zapojiť čitateľov do neustále sa vyvíjajúceho prostredia digitálnych financií.
Ďalšie články
Alisa, oddaná novinárka v MPost, sa špecializuje na kryptomeny, dôkazy s nulovými znalosťami, investície a rozsiahlu oblasť Web3. So záujmom o nové trendy a technológie poskytuje komplexné pokrytie s cieľom informovať a zapojiť čitateľov do neustále sa vyvíjajúceho prostredia digitálnych financií.
