Skadlig attack slår över 170,000 XNUMX Top.gg-användare genom falsk Python-infrastruktur
I korthet
Top.gg GitHub-organisationen 170,000 XNUMX användargrupper var måltavlor av illvilliga aktörer i en attack mot mjukvaruförsörjningskedjan.
Top.gg GitHub-organisationsgemenskapen, som består av över 170,000 XNUMX medlemmar, måltavlades av illvilliga aktörer i en attack mot mjukvaruförsörjningskedjan med bevis som tyder på framgångsrik exploatering, som påverkar flera offer.
Den 3 mars uppmärksammade användare "editor-syntax" på communityns Discord-chatt om misstänkta aktiviteter kopplade till hans konto. "editor-syntax" blev chockad när han upptäckte situationen genom hans GitHub konto. Det blev uppenbart att skadlig programvara hade påverkat många individer, vilket belyser omfattningen och effekten av attacken.
Hotaktörerna använde olika taktiker, tekniker och procedurer (TTP) i denna attack, som inkluderade kontoövertagande genom snattade webbläsarcookies, infogning av skadlig kod med verifierade commits, upprättande av en anpassad Python-spegel och uppladdning av skadliga paket till PyPi-registret.
Anmärkningsvärt är att attackinfrastrukturen omfattade en webbplats utformad för att efterlikna en Python-paketspegel, registrerad under domänen "filer[.]pypihosted[.]org" - domänen som riktar sig till tjänstemannen Python mirror, "files.pythonhosted.org", det vanliga arkivet för att lagra PyPi-paketartefaktfiler. Hotaktörerna tog också Colorama, ett flitigt använt verktyg med över 150 miljoner nedladdningar per månad, genom att duplicera det och injicera skadlig kod. De döljde den skadliga nyttolasten inom Colorama genom att använda rymdstoppning och värd för denna ändrade version på deras falska domänspegel. Dessutom gick angriparnas räckvidd längre än att skapa skadliga arkiv via sina konton. De kapade GitHub-konton med högt rykte och använde resurserna som är associerade med dessa konton för att göra skadliga åtaganden.
Förutom att sprida skadlig programvara genom skadliga GitHub-förråd, använde angriparna också ett skadligt Python-paket, "yocolor", för att distribuera "colorama"-paketet som innehåller skadlig programvara. Med samma typosquatting-teknik var dåliga aktörer värd för det skadliga paketet på domänen "filer[.]pypihosted[.]org" och använde ett identiskt namn som det legitima "colorama"-paketet.
Genom att manipulera paketinstallationsprocessen och utnyttja det förtroende som användarna har i Python-paketets ekosystem, säkerställde angriparen att det skadliga "colorama"-paketet skulle installeras närhelst det skadliga beroendet specificerades i projektets krav. Denna taktik gjorde det möjligt för angriparen att kringgå misstankar och infiltrera systemen hos intet ont anande utvecklare som förlitade sig på Python-paketeringssystemets integritet.
SlowMist CISO avslöjar skadlig programvaras omfattande dataextraktion från populära applikationer
Enligt Slow Mist Chief Information Security Officer "23pds", den skadliga programvaran riktade sig mot många populära mjukvaruapplikationer och extraherade känsliga data såsom kryptovaluta plånboksinformation, Discord-data, webbläsardata, Telegram-sessioner och mer.
Innehåller listan över cryptocurrency plånböcker mål för stöld från offrets system, skadlig programvara skannade efter kataloger kopplade till varje plånbok och försökte extrahera plånboksrelaterade filer. Därefter komprimerades plånbokens data till ZIP-filer och överfördes till angriparens server.
Skadlig programvara försökte också stjäla meddelandeprogram Telegram sessionsdata genom att söka efter kataloger och filer kopplade till Telegram. Genom att få tillgång till Telegram-sessioner kan angriparen ha fått obehörig tillgång till offrets Telegram-konto och kommunikation.
Den här kampanjen exemplifierar den sofistikerade taktiken som skadliga aktörer använder för att distribuera skadlig programvara via betrodda plattformar som PyPI och GitHub. Den senaste Top.gg-incidenten belyser vikten av vaksamhet när du installerar paket och förråd, även från välrenommerade källor.
Villkor
I linje med den Riktlinjer för Trust Project, vänligen notera att informationen på den här sidan inte är avsedd att vara och inte ska tolkas som juridisk, skattemässig, investerings-, finansiell eller någon annan form av rådgivning. Det är viktigt att bara investera det du har råd att förlora och att söka oberoende finansiell rådgivning om du har några tvivel. För ytterligare information föreslår vi att du hänvisar till villkoren samt hjälp- och supportsidorna som tillhandahålls av utfärdaren eller annonsören. MetaversePost är engagerad i korrekt, opartisk rapportering, men marknadsförhållandena kan ändras utan föregående meddelande.
Om författaren
Alisa, en engagerad journalist på MPost, specialiserat på kryptovaluta, nollkunskapsbevis, investeringar och den expansiva sfären av Web3. Med ett skarpt öga för nya trender och tekniker levererar hon omfattande täckning för att informera och engagera läsare i det ständigt föränderliga landskapet för digital ekonomi.
fler artiklarAlisa, en engagerad journalist på MPost, specialiserat på kryptovaluta, nollkunskapsbevis, investeringar och den expansiva sfären av Web3. Med ett skarpt öga för nya trender och tekniker levererar hon omfattande täckning för att informera och engagera läsare i det ständigt föränderliga landskapet för digital ekonomi.