Hinampas ng Malicious Attack ang Higit sa 170,000 Top.gg Users Sa Pamamagitan ng Fake Python Infrastructure
Sa madaling sabi
Top.gg GitHub organization 170,000 user community ang na-target ng mga malisyosong aktor sa isang pag-atake sa software supply chain.
Ang komunidad ng organisasyong Top.gg GitHub, na binubuo ng mahigit 170,000 miyembro, ay na-target ng mga malisyosong aktor sa isang pag-atake sa software supply chain na may ebidensyang nagmumungkahi ng matagumpay na pagsasamantala, na nakakaapekto sa maraming biktima.
Noong ika-3 ng Marso, binigyang-pansin ng mga user ang "editor-syntax" sa Discord chat ng komunidad tungkol sa mga kahina-hinalang aktibidad na naka-link sa kanyang account. Ang "editor-syntax" ay nagulat nang matuklasan ang sitwasyon sa pamamagitan ng kanyang GitHub account. Naging maliwanag na ang malware ay nakaapekto sa maraming indibidwal, na itinatampok ang lawak at epekto ng pag-atake.
Gumamit ang mga aktor ng banta ng iba't ibang Tactics, Techniques, and Procedures (TTPs) sa pag-atakeng ito, kung saan kasama ang pagkuha ng account sa pamamagitan ng ninakaw na cookies ng browser, paglalagay ng malisyosong code na may mga na-verify na commit, pagtatatag ng customized na Python mirror, at pag-upload ng mga nakakahamak na package sa PyPi registry.
Kapansin-pansin, ang imprastraktura ng pag-atake ay sumasaklaw sa isang website na idinisenyo upang gayahin ang isang Python package mirror, na nakarehistro sa ilalim ng domain na "files[.]pypihosted[.]org"–ang domain na nagta-target sa opisyal Sawa mirror, "files.pythonhosted.org," ang karaniwang repository para sa pag-iimbak ng mga file ng artifact ng package ng PyPi. Kinuha din ng mga banta ng aktor ang Colorama, isang malawakang ginagamit na tool na may higit sa 150 milyong buwanang pag-download, sa pamamagitan ng pagdoble nito at pag-iniksyon ng malisyosong code. Tinakpan nila ang nakakapinsalang kargamento sa loob ng Colorama sa pamamagitan ng paggamit ng space padding at na-host ang binagong bersyon na ito sa kanilang typosquatted-domain na pekeng salamin. Higit pa rito, ang pag-abot ng mga umaatake ay higit pa sa paggawa ng mga nakakahamak na repositoryo sa pamamagitan ng kanilang mga account. Na-hijack nila ang mga GitHub account na may mataas na reputasyon at ginamit ang mga mapagkukunang nauugnay sa mga account na iyon para gumawa ng mga malisyosong commit.
Bilang karagdagan sa pagkalat ng malware sa pamamagitan ng malisyosong mga repositoryo ng GitHub, gumamit din ang mga umaatake ng nakakahamak na Python package, "yocolor," upang ipamahagi ang package na "colorama" na naglalaman ng malware. Gamit ang parehong typosquatting technique, ang mga masasamang aktor ay nagho-host ng nakakahamak na package sa domain na “files[.]pypihosted[.]org” at gumamit ng kaparehong pangalan sa lehitimong “colorama” package.
Sa pamamagitan ng pagmamanipula sa proseso ng pag-install ng package at pagsasamantala sa pinagkakatiwalaang inilalagay ng mga user sa Python package ecosystem, tiniyak ng attacker na mai-install ang nakakahamak na "colorama" package sa tuwing tinukoy ang malisyosong dependency sa mga kinakailangan ng proyekto. Ang taktika na ito ay nagbigay-daan sa umaatake na lampasan ang mga hinala at makalusot sa mga sistema ng hindi mapag-aalinlanganang mga developer na umasa sa integridad ng Python packaging system.
Inihayag ng SlowMist CISO ang Malawak na Pagkuha ng Data ng Malware mula sa Mga Popular na Application
Ayon sa SlowMist Chief Information Security Officer "23pds", ang malware ay nag-target ng maraming sikat na software application, na kumukuha ng sensitibong data gaya ng cryptocurrency wallet na impormasyon, Discord data, data ng browser, Telegram session, at higit pa.
Naglalaman ng listahan ng cryptocurrency wallets na naka-target para sa pagnanakaw mula sa system ng biktima, ang malware ay nag-scan para sa mga direktoryo na naka-link sa bawat wallet at nagsikap na kunin ang mga file na nauugnay sa pitaka. Kasunod nito, ang data ng ninakaw na wallet ay na-compress sa mga ZIP file at ipinadala sa server ng umaatake.
Sinubukan din ng malware na nakawin ang application ng pagmemensahe Telegrama data ng session sa pamamagitan ng pag-scan para sa mga direktoryo at mga file na naka-link sa Telegram. Sa pamamagitan ng pagkuha ng access sa mga session ng Telegram, maaaring nakakuha ang attacker ng hindi awtorisadong pagpasok sa Telegram account at mga komunikasyon ng biktima.
Ang kampanyang ito ay nagpapakita ng mga sopistikadong taktika na ginagamit ng mga malisyosong aktor upang ipamahagi ang malware sa pamamagitan ng mga pinagkakatiwalaang platform gaya ng PyPI at GitHub. Itinatampok ng kamakailang insidente sa Top.gg ang kahalagahan ng pagbabantay kapag nag-i-install ng mga package at repository, kahit na mula sa mga mapagkakatiwalaang source.
Pagtanggi sa pananagutan
Sa linya na may Mga alituntunin ng Trust Project, pakitandaan na ang impormasyong ibinigay sa pahinang ito ay hindi nilayon at hindi dapat bigyang-kahulugan bilang legal, buwis, pamumuhunan, pananalapi, o anumang iba pang paraan ng payo. Mahalagang mamuhunan lamang kung ano ang maaari mong mawala at humingi ng independiyenteng payo sa pananalapi kung mayroon kang anumang mga pagdududa. Para sa karagdagang impormasyon, iminumungkahi naming sumangguni sa mga tuntunin at kundisyon pati na rin sa mga pahina ng tulong at suporta na ibinigay ng nagbigay o advertiser. MetaversePost ay nakatuon sa tumpak, walang pinapanigan na pag-uulat, ngunit ang mga kondisyon ng merkado ay maaaring magbago nang walang abiso.
Tungkol sa Ang May-akda
Alisa, isang dedikadong mamamahayag sa MPost, dalubhasa sa cryptocurrency, zero-knowledge proofs, investments, at ang malawak na larangan ng Web3. Sa isang matalas na mata para sa mga umuusbong na uso at teknolohiya, naghahatid siya ng komprehensibong saklaw upang ipaalam at hikayatin ang mga mambabasa sa patuloy na umuusbong na tanawin ng digital finance.
Mas marami pang artikulo
Alisa, isang dedikadong mamamahayag sa MPost, dalubhasa sa cryptocurrency, zero-knowledge proofs, investments, at ang malawak na larangan ng Web3. Sa isang matalas na mata para sa mga umuusbong na uso at teknolohiya, naghahatid siya ng komprehensibong saklaw upang ipaalam at hikayatin ang mga mambabasa sa patuloy na umuusbong na tanawin ng digital finance.
