Злонамерни напад погађа преко 170,000 Топ.гг корисника кроз лажну Питхон инфраструктуру
Укратко
Топ.гг ГитХуб организација 170,000 корисничка заједница била је на мети злонамерних актера у нападу на ланац набавке софтвера.
Топ.гг ГитХуб организациона заједница, која се састоји од преко 170,000 чланова, била је на мети злонамерних актера у нападу на ланац набавке софтвера са доказима који указују на успешну експлоатацију, утичући на више жртава.
3. марта, корисници су скренули пажњу на „синтаксу уредника“ у Дисцорд ћаскању заједнице о сумњивим активностима повезаним са његовим налогом. „уредник-синтакса“ је био шокиран када је открио ситуацију преко његовог ГитХуб рачун. Постало је очигледно да је малвер погодио бројне појединце, наглашавајући обим и утицај напада.
Актери претњи су користили различите тактике, технике и процедуре (ТТП) у овом нападу, који је укључивао преузимање налога путем украдених колачића претраживача, уметање злонамерног кода са верификованим урезивањем, успостављање прилагођеног Питхон огледала и отпремање злонамерних пакета у ПиПи регистар.
Нарочито, инфраструктура напада је обухватала веб локацију дизајнирану да имитира огледало Питхон пакета, регистровану под доменом „филес[.]пипихостед[.]орг“ – домен који циља званични Питон огледало, „филес.питхонхостед.орг“, уобичајено спремиште за чување артефаката ПиПи пакета. Актери претњи су такође узели Цолораму, широко коришћени алат са преко 150 милиона преузимања месечно, тако што су га дуплирали и убацили злонамерни код. Они су заклонили штетни терет унутар Цолораме коришћењем размака и угостили ову измењену верзију на свом лажном огледалу домена са куцаним доменом. Штавише, досег нападача је превазишао стварање злонамерних складишта преко њихових налога. Они су отели ГитХуб налоге са високом репутацијом и искористили ресурсе повезане са тим налозима да изврше злонамерне обавезе.
Поред ширења злонамерног софтвера преко злонамерних ГитХуб репозиторија, нападачи су такође користили злонамерни Питхон пакет, „иоцолор“, да дистрибуирају пакет „цолорама“ који садржи малвер. Користећи исту технику куцања, лоши актери су угостили злонамерни пакет на домену „филес[.]пипихостед[.]орг“ и користили идентично име као легитимни „цолорама“ пакет.
Манипулишући процесом инсталације пакета и искоришћавањем поверења које корисници имају у екосистему Питхон пакета, нападач је обезбедио да ће злонамерни пакет „цолорама“ бити инсталиран кад год је злонамерна зависност наведена у захтевима пројекта. Ова тактика је омогућила нападачу да заобиђе сумње и инфилтрира се у системе несуђених програмера који су се ослањали на интегритет Питхон система за паковање.
СловМист ЦИСО открива екстензивну екстракцију података злонамерног софтвера из популарних апликација
Према СловМист Директор за безбедност информација „23пдс“, малвер је циљао многе популарне софтверске апликације, издвајајући осетљиве податке као што су информације о новчанику криптовалута, подаци Дисцорд-а, подаци претраживача, сесије Телеграма и још много тога.
Садржи листу криптоцурренци новчаника циљано на крађу из система жртве, злонамерни софтвер је скенирао директоријуме који су повезани са сваким новчаником и настојао да издвоји датотеке везане за новчаник. Након тога, украдени подаци новчаника су компримовани у ЗИП датотеке и пренети на сервер нападача.
Малвер је такође покушао да украде апликацију за размену порука Telegram податке о сесији скенирањем директоријума и датотека повезаних са Телеграмом. Добијањем приступа Телеграм сесијама, нападач је можда стекао неовлашћени улазак у Телеграм налог и комуникације жртве.
Ова кампања илуструје софистициране тактике које злонамерни актери користе за дистрибуцију малвера преко поузданих платформи као што су ПиПИ и ГитХуб. Недавни инцидент са Топ.гг наглашава значај будности приликом инсталирања пакета и спремишта, чак и из реномираних извора.
Одрицање од одговорности
У складу са Смернице пројекта Труст, имајте на уму да информације дате на овој страници нису намењене и не треба да се тумаче као правни, порески, инвестициони, финансијски или било који други облик савета. Важно је да инвестирате само оно што можете приуштити да изгубите и да тражите независан финансијски савет ако сумњате. За додатне информације, предлажемо да погледате одредбе и услове, као и странице помоћи и подршке које пружа издавач или оглашивач. MetaversePost је посвећен тачном, непристрасном извештавању, али тржишни услови су подложни променама без претходне најаве.
О аутору
Алиса, посвећена новинарка у MPost, специјализован за криптовалуте, доказе без знања, инвестиције и експанзивну област Web3. Са оштрим оком за нове трендове и технологије, она пружа свеобухватну покривеност како би информисала и ангажовала читаоце у области дигиталних финансија која се стално развија.
više чланакаАлиса, посвећена новинарка у MPost, специјализован за криптовалуте, доказе без знања, инвестиције и експанзивну област Web3. Са оштрим оком за нове трендове и технологије, она пружа свеобухватну покривеност како би информисала и ангажовала читаоце у области дигиталних финансија која се стално развија.