การโจมตีที่เป็นอันตรายโจมตีผู้ใช้ Top.gg มากกว่า 170,000 รายผ่านโครงสร้างพื้นฐาน Python ปลอม
ในบทสรุป
องค์กร Top.gg GitHub ชุมชนผู้ใช้ 170,000 รายตกเป็นเป้าหมายโดยผู้ที่เป็นอันตรายในการโจมตีห่วงโซ่อุปทานซอฟต์แวร์.
ชุมชนองค์กร Top.gg GitHub ซึ่งประกอบด้วยสมาชิกมากกว่า 170,000 ราย ตกเป็นเป้าหมายของผู้ไม่ประสงค์ดีในการโจมตีห่วงโซ่อุปทานซอฟต์แวร์ โดยมีหลักฐานบ่งชี้ว่าการแสวงหาผลประโยชน์ประสบความสำเร็จ ซึ่งส่งผลกระทบต่อเหยื่อหลายราย
เมื่อวันที่ 3 มีนาคม ผู้ใช้ได้รับความสนใจจาก "ตัวแก้ไข-ไวยากรณ์" ในแชท Discord ของชุมชนเกี่ยวกับกิจกรรมที่น่าสงสัยที่เชื่อมโยงกับบัญชีของเขา “ตัวแก้ไขไวยากรณ์” ตกตะลึงเมื่อค้นพบสถานการณ์ผ่านทางเขา GitHub บัญชี. เห็นได้ชัดว่ามัลแวร์ส่งผลกระทบต่อบุคคลจำนวนมาก โดยเน้นขอบเขตและผลกระทบของการโจมตี
ผู้ก่อภัยคุกคามใช้กลยุทธ์ เทคนิค และขั้นตอนต่างๆ (TTP) ในการโจมตีนี้ ซึ่งรวมถึงการเข้าครอบครองบัญชีผ่านคุกกี้ของเบราว์เซอร์ที่ถูกขโมย การแทรกโค้ดที่เป็นอันตรายด้วยการยืนยันคอมมิต การสร้างมิเรอร์ Python ที่ปรับแต่งเอง และการอัปโหลดแพ็คเกจที่เป็นอันตรายไปยังรีจิสทรี PyPi
โดยเฉพาะอย่างยิ่ง โครงสร้างพื้นฐานการโจมตีนั้นครอบคลุมเว็บไซต์ที่ออกแบบมาเพื่อเลียนแบบแพ็คเกจมิเรอร์ของ Python ซึ่งจดทะเบียนภายใต้โดเมน “files[.]pypihosted[.]org” ซึ่งเป็นโดเมนที่กำหนดเป้าหมายไปที่ทางการ หลาม มิเรอร์ “files.pythonhosted.org” ซึ่งเป็นพื้นที่เก็บข้อมูลปกติสำหรับจัดเก็บไฟล์สิ่งประดิษฐ์แพ็คเกจ PyPi ผู้คุกคามยังได้นำ Colorama ซึ่งเป็นเครื่องมือที่ใช้กันอย่างแพร่หลายซึ่งมียอดดาวน์โหลดมากกว่า 150 ล้านครั้งต่อเดือน โดยการทำซ้ำและแทรกโค้ดที่เป็นอันตราย พวกเขาปิดบังเพย์โหลดที่เป็นอันตรายภายใน Colorama โดยใช้การเว้นวรรคและโฮสต์เวอร์ชันที่เปลี่ยนแปลงนี้บนมิเรอร์ปลอมที่มีโดเมนที่พิมพ์ผิด นอกจากนี้ การเข้าถึงของผู้โจมตียังนอกเหนือไปจากการสร้างพื้นที่เก็บข้อมูลที่เป็นอันตรายผ่านบัญชีของพวกเขาอีกด้วย พวกเขาแย่งชิงบัญชี GitHub ที่มีชื่อเสียงสูง และใช้ทรัพยากรที่เกี่ยวข้องกับบัญชีเหล่านั้นเพื่อกระทำการที่เป็นอันตราย
นอกเหนือจากการแพร่กระจายมัลแวร์ผ่านที่เก็บ GitHub ที่เป็นอันตรายแล้ว ผู้โจมตียังใช้แพ็คเกจ Python ที่เป็นอันตราย “yocolor” เพื่อแจกจ่ายแพ็คเกจ “colorama” ที่มีมัลแวร์ ด้วยการใช้เทคนิคการพิมพ์แบบเดียวกัน ผู้ไม่ประสงค์ดีโฮสต์แพ็คเกจที่เป็นอันตรายบนโดเมน “files[.]pypihosted[.]org” และใช้ชื่อที่เหมือนกันกับแพ็คเกจ “colorama” ที่ถูกต้องตามกฎหมาย
ด้วยการจัดการกระบวนการติดตั้งแพ็คเกจและใช้ประโยชน์จากความไว้วางใจที่ผู้ใช้วางไว้ในระบบนิเวศของแพ็คเกจ Python ผู้โจมตีจึงมั่นใจได้ว่าแพ็คเกจ “colorama” ที่เป็นอันตรายจะถูกติดตั้งทุกครั้งที่ระบุการพึ่งพาที่เป็นอันตรายในข้อกำหนดของโปรเจ็กต์ กลยุทธ์นี้ทำให้ผู้โจมตีสามารถเลี่ยงความสงสัยและแทรกซึมเข้าไปในระบบของนักพัฒนาที่ไม่สงสัยซึ่งอาศัยความสมบูรณ์ของระบบแพ็คเกจ Python
SlowMist CISO เผยการดึงข้อมูลอย่างกว้างขวางของมัลแวร์จากแอปพลิเคชันยอดนิยม
ตามที่ สโลว์มิสท์ หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล “23pds” มัลแวร์มุ่งเป้าไปที่แอพพลิเคชั่นซอฟต์แวร์ยอดนิยมจำนวนมาก โดยดึงข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลกระเป๋าเงินดิจิตอล ข้อมูล Discord ข้อมูลเบราว์เซอร์ เซสชันโทรเลข และอื่นๆ
ประกอบด้วยรายการ กระเป๋าสตางค์ cryptocurrency เป้าหมายของการโจรกรรมจากระบบของเหยื่อ มัลแวร์จะสแกนหาไดเร็กทอรีที่เชื่อมโยงกับกระเป๋าเงินแต่ละใบ และพยายามแยกไฟล์ที่เกี่ยวข้องกับกระเป๋าเงิน ต่อจากนั้น ข้อมูลกระเป๋าเงินที่ถูกขโมยจะถูกบีบอัดเป็นไฟล์ ZIP และส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี
มัลแวร์ยังพยายามขโมยแอปพลิเคชันส่งข้อความอีกด้วย Telegram ข้อมูลเซสชันโดยการสแกนหาไดเร็กทอรีและไฟล์ที่เชื่อมโยงกับ Telegram การเข้าถึงเซสชัน Telegram ผู้โจมตีอาจเข้าถึงบัญชี Telegram และการสื่อสารของเหยื่อโดยไม่ได้รับอนุญาต
แคมเปญนี้เป็นตัวอย่างกลยุทธ์ที่ซับซ้อนที่ผู้ประสงค์ร้ายใช้ในการเผยแพร่มัลแวร์ผ่านแพลตฟอร์มที่เชื่อถือได้ เช่น PyPI และ GitHub เหตุการณ์ Top.gg ล่าสุดเน้นย้ำถึงความสำคัญของการระมัดระวังในการติดตั้งแพ็คเกจและที่เก็บข้อมูล แม้จะมาจากแหล่งที่มีชื่อเสียงก็ตาม
ข้อจำกัดความรับผิดชอบ
สอดคล้องกับ แนวทางโครงการที่เชื่อถือได้โปรดทราบว่าข้อมูลที่ให้ไว้ในหน้านี้ไม่ได้มีจุดมุ่งหมายและไม่ควรตีความว่าเป็นคำแนะนำทางกฎหมาย ภาษี การลงทุน การเงิน หรือรูปแบบอื่นใด สิ่งสำคัญคือต้องลงทุนเฉพาะในสิ่งที่คุณสามารถที่จะสูญเสียได้ และขอคำแนะนำทางการเงินที่เป็นอิสระหากคุณมีข้อสงสัยใดๆ สำหรับข้อมูลเพิ่มเติม เราขอแนะนำให้อ้างอิงข้อกำหนดและเงื่อนไขตลอดจนหน้าช่วยเหลือและสนับสนุนที่ผู้ออกหรือผู้ลงโฆษณาให้ไว้ MetaversePost มุ่งมั่นที่จะรายงานที่ถูกต้องและเป็นกลาง แต่สภาวะตลาดอาจมีการเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า
เกี่ยวกับผู้เขียน
อลิสา นักข่าวผู้ทุ่มเทของ MPostเชี่ยวชาญด้านสกุลเงินดิจิทัล การพิสูจน์ความรู้เป็นศูนย์ การลงทุน และขอบเขตที่กว้างขวางของ Web3- ด้วยสายตาที่กระตือรือร้นต่อแนวโน้มและเทคโนโลยีที่เกิดขึ้นใหม่ เธอจึงนำเสนอความครอบคลุมที่ครอบคลุมเพื่อแจ้งและดึงดูดผู้อ่านเกี่ยวกับภูมิทัศน์ทางการเงินดิจิทัลที่พัฒนาอยู่ตลอดเวลา
บทความอื่น ๆอลิสา นักข่าวผู้ทุ่มเทของ MPostเชี่ยวชาญด้านสกุลเงินดิจิทัล การพิสูจน์ความรู้เป็นศูนย์ การลงทุน และขอบเขตที่กว้างขวางของ Web3- ด้วยสายตาที่กระตือรือร้นต่อแนวโน้มและเทคโนโลยีที่เกิดขึ้นใหม่ เธอจึงนำเสนอความครอบคลุมที่ครอบคลุมเพื่อแจ้งและดึงดูดผู้อ่านเกี่ยวกับภูมิทัศน์ทางการเงินดิจิทัลที่พัฒนาอยู่ตลอดเวลา