Zlonamerni napad prek lažne infrastrukture Python prizadene več kot 170,000 uporabnikov Top.gg
Na kratko
Top.gg GitHub organizacija 170,000 uporabniška skupnost je bila tarča zlonamernih akterjev v napadu na dobavno verigo programske opreme.
Skupnost organizacij Top.gg GitHub, ki obsega več kot 170,000 članov, je bila tarča zlonamernih akterjev v napadu na dobavno verigo programske opreme z dokazi, ki kažejo na uspešno izkoriščanje, kar je vplivalo na več žrtev.
3. marca so uporabniki »urednika-sintakso« v klepetu skupnosti Discord opozorili na sumljive dejavnosti, povezane z njegovim računom. »urednik-sintaksa« je bil šokiran, ko je odkril situacijo prek svojega GitHub račun. Postalo je očitno, da je zlonamerna programska oprema prizadela številne posameznike, kar je poudarilo obseg in učinek napada.
Akterji groženj so v tem napadu uporabili različne taktike, tehnike in postopke (TTP), ki so vključevali prevzem računa prek ukradenih piškotkov brskalnika, vstavljanje zlonamerne kode s preverjenimi zavezami, vzpostavitev prilagojenega ogledala Python in nalaganje zlonamernih paketov v register PyPi.
Predvsem je napadalna infrastruktura vključevala spletno stran, zasnovano za posnemanje ogledala paketa Python, registrirano pod domeno »files[.]pypihosted[.]org« – domeno, ki cilja na uradno Python ogledalo, »files.pythonhosted.org«, običajno skladišče za shranjevanje datotek artefaktov paketov PyPi. Akterji grožnje so prevzeli tudi Coloramo, široko uporabljano orodje z več kot 150 milijoni prenosov mesečno, tako da so ga podvojili in vbrizgali zlonamerno kodo. Z uporabo presledkov so zakrili škodljivo koristno obremenitev znotraj Colorame in gostili to spremenjeno različico na svojem ponarejenem zrcalu tiposkvotirane domene. Poleg tega je doseg napadalcev presegel ustvarjanje zlonamernih skladišč prek njihovih računov. Ugrabili so račune GitHub z visokim ugledom in uporabili vire, povezane s temi računi, za izvajanje zlonamernih obveznosti.
Poleg širjenja zlonamerne programske opreme prek zlonamernih skladišč GitHub so napadalci uporabili tudi zlonamerni paket Python, »yocolor«, za distribucijo paketa »colorama«, ki vsebuje zlonamerno programsko opremo. Z uporabo iste tehnike typosquatting so zlonamerni akterji zlonamerni paket gostili na domeni »files[.]pypihosted[.]org« in uporabili enako ime kot zakoniti paket »colorama«.
Z manipulacijo postopka namestitve paketa in izkoriščanjem zaupanja, ki ga uporabniki dajejo ekosistemu paketa Python, je napadalec zagotovil, da bo zlonamerni paket »colorama« nameščen vedno, ko je bila zlonamerna odvisnost navedena v zahtevah projekta. Ta taktika je napadalcu omogočila, da se je izognil sumom in se infiltriral v sisteme nič hudega slutečih razvijalcev, ki so se zanašali na celovitost sistema pakiranja Python.
SlowMist CISO razkriva obsežno pridobivanje podatkov s strani zlonamerne programske opreme iz priljubljenih aplikacij
Glede na SlowMist Chief Information Security Officer »23pds«, je zlonamerna programska oprema ciljala na številne priljubljene programske aplikacije, pri čemer je pridobivala občutljive podatke, kot so podatki denarnice za kriptovalute, podatki Discord, podatki brskalnika, seje Telegrama in drugo.
Vsebuje seznam kriptokurrency denarnice zlonamerna programska oprema, namenjena kraji iz sistema žrtve, je iskala imenike, povezane z vsako denarnico, in si prizadevala ekstrahirati datoteke, povezane z denarnico. Pozneje so bili ukradeni podatki denarnice stisnjeni v datoteke ZIP in poslani na napadalčev strežnik.
Zlonamerna programska oprema je poskušala ukrasti tudi aplikacijo za sporočanje Telegram podatke o seji s skeniranjem imenikov in datotek, povezanih s Telegramom. S pridobitvijo dostopa do sej Telegram je napadalec morda pridobil nepooblaščen vstop v žrtvin račun Telegram in komunikacijo.
Ta kampanja ponazarja prefinjene taktike, ki jih zlonamerni akterji uporabljajo za distribucijo zlonamerne programske opreme prek zaupanja vrednih platform, kot sta PyPI in GitHub. Nedavni incident Top.gg poudarja pomen pazljivosti pri nameščanju paketov in repozitorijev, tudi iz uglednih virov.
Zavrnitev odgovornosti
V skladu z Smernice projekta Trust, upoštevajte, da informacije na tej strani niso namenjene in se jih ne sme razlagati kot pravni, davčni, naložbeni, finančni ali kakršen koli drug nasvet. Pomembno je, da vlagate samo tisto, kar si lahko privoščite izgubiti, in da poiščete neodvisen finančni nasvet, če imate kakršne koli dvome. Za dodatne informacije predlagamo, da si ogledate določila in pogoje ter strani s pomočjo in podporo, ki jih nudi izdajatelj ali oglaševalec. MetaversePost se zavzema za natančno in nepristransko poročanje, vendar se tržni pogoji lahko spremenijo brez predhodnega obvestila.
O avtorju
Alisa, predana novinarka pri MPost, je specializirano za kriptovalute, dokazila brez znanja, naložbe in obsežno področje Web3. Z ostrim očesom za nastajajoče trende in tehnologije zagotavlja celovito pokritost za informiranje in vključevanje bralcev v nenehno razvijajočo se pokrajino digitalnih financ.
več člankov
Alisa, predana novinarka pri MPost, je specializirano za kriptovalute, dokazila brez znanja, naložbe in obsežno področje Web3. Z ostrim očesom za nastajajoče trende in tehnologije zagotavlja celovito pokritost za informiranje in vključevanje bralcev v nenehno razvijajočo se pokrajino digitalnih financ.
