Kötü Amaçlı Saldırı, Sahte Python Altyapısı Yoluyla 170,000'den Fazla Top.gg Kullanıcısına Saldırdı
Kısaca
Top.gg GitHub organizasyonu 170,000 kullanıcı topluluğu, yazılım tedarik zincirine yapılan bir saldırıda kötü niyetli aktörler tarafından hedef alındı.
170,000'den fazla üyeden oluşan Top.gg GitHub organizasyon topluluğu, yazılım tedarik zincirine yapılan bir saldırıda kötü niyetli aktörler tarafından hedef alındı ve başarılı bir istismarın birden fazla kurbanı etkilediğini gösteren kanıtlar ortaya çıktı.
3 Mart'ta kullanıcılar, topluluğun Discord sohbetindeki hesabıyla bağlantılı şüpheli faaliyetler hakkında "editör-söz dizimi"nin dikkatine sunuldu. "editör-sözdizimi" durumu onun aracılığıyla keşfettiğinde şok oldu GitHub hesap. Kötü amaçlı yazılımın çok sayıda kişiyi etkilediğinin ortaya çıkması, saldırının boyutunu ve etkisini ortaya koydu.
Tehdit aktörleri bu saldırıda çeşitli Taktikler, Teknikler ve Prosedürler (TTP'ler) kullandı; bunlar arasında çalınan tarayıcı çerezleri yoluyla hesap ele geçirme, doğrulanmış taahhütlerle kötü amaçlı kod ekleme, özelleştirilmiş bir Python aynası oluşturma ve kötü amaçlı paketleri PyPi kayıt defterine yükleme yer alıyor.
Özellikle, saldırı altyapısı, Python paket aynasını taklit etmek üzere tasarlanmış, "files[.]pypihosted[.]org" alanı (resmi web sitesini hedefleyen alan adı) altında kayıtlı bir web sitesini kapsıyordu. Python Mirror, "files.pythonhosted.org", PyPi paketi yapıt dosyalarını depolamak için kullanılan genel depodur. Tehdit aktörleri ayrıca, ayda 150 milyonun üzerinde indirme sayısına sahip, yaygın olarak kullanılan bir araç olan Colorama'yı kopyalayıp kötü amaçlı kod enjekte ederek ele geçirdi. Space padding kullanarak Colorama'daki zararlı yükü gizlediler ve bu değiştirilmiş sürümü, yazım hatası yapılmış alan sahte aynasında barındırdılar. Ayrıca saldırganların erişimi, hesapları aracılığıyla kötü amaçlı depolar oluşturmanın ötesine geçti. Yüksek itibara sahip GitHub hesaplarını ele geçirdiler ve kötü niyetli taahhütlerde bulunmak için bu hesaplarla ilişkili kaynakları kullandılar.
Saldırganlar, kötü amaçlı yazılımı GitHub depoları aracılığıyla yaymanın yanı sıra, kötü amaçlı yazılımı içeren "colorama" paketini dağıtmak için kötü amaçlı Python paketi "yocolor"dan da yararlandı. Kötü niyetli kişiler, aynı yazım hatası tekniğini kullanarak kötü amaçlı paketi “files[.]pypihosted[.]org” etki alanında barındırdılar ve meşru “colorama” paketiyle aynı adı kullandılar.
Saldırgan, paket yükleme sürecini manipüle ederek ve kullanıcıların Python paket ekosistemine olan güveninden yararlanarak, projenin gereksinimlerinde kötü amaçlı bağımlılık belirtildiğinde kötü amaçlı "colorama" paketinin yüklenmesini sağladı. Bu taktik, saldırganın şüpheleri atlatmasına ve Python paketleme sisteminin bütünlüğüne güvenen şüphelenmeyen geliştiricilerin sistemlerine sızmasına olanak sağladı.
SlowMist CISO, Kötü Amaçlı Yazılımın Popüler Uygulamalardan Kapsamlı Veri Çıkarma Özelliğini Ortaya Çıkarıyor
Göre Yavaş Sis Bilgi Güvenliği Baş Sorumlusu “23pds”, kötü amaçlı yazılım birçok popüler yazılım uygulamasını hedef alarak kripto para birimi cüzdan bilgileri, Discord verileri, tarayıcı verileri, Telegram oturumları ve daha fazlası gibi hassas verileri çıkardı.
Listesini içeren cryptocurrency cüzdanlar Kurbanın sisteminden çalınmayı hedefleyen kötü amaçlı yazılım, her bir cüzdanla bağlantılı dizinleri taradı ve cüzdanla ilgili dosyaları çıkarmaya çalıştı. Daha sonra çalınan cüzdan verileri ZIP dosyalarına sıkıştırılarak saldırganın sunucusuna aktarıldı.
Kötü amaçlı yazılım aynı zamanda mesajlaşma uygulamasını da çalmaya çalıştı Telegram Telegram'a bağlı dizinleri ve dosyaları tarayarak oturum verilerini tarayın. Saldırgan, Telegram oturumlarına erişim sağlayarak kurbanın Telegram hesabına ve iletişimlerine yetkisiz giriş yapmış olabilir.
Bu kampanya, kötü niyetli aktörlerin PyPI ve GitHub gibi güvenilir platformlar aracılığıyla kötü amaçlı yazılım dağıtmak için kullandıkları karmaşık taktiklerin bir örneğini oluşturuyor. Son Top.gg olayı, saygın kaynaklardan bile olsa, paketleri ve depoları kurarken dikkatli olmanın önemini vurgulamaktadır.
Feragatname
Doğrultusunda Trust Project yönergeleri, lütfen bu sayfada sağlanan bilgilerin hukuki, vergi, yatırım, finansal veya başka herhangi bir tavsiye niteliğinde olmadığını ve bu şekilde yorumlanmaması gerektiğini unutmayın. Yalnızca kaybetmeyi göze alabileceğiniz kadar yatırım yapmak ve herhangi bir şüpheniz varsa bağımsız finansal tavsiye almak önemlidir. Daha fazla bilgi için şartlar ve koşulların yanı sıra kartı veren kuruluş veya reklamveren tarafından sağlanan yardım ve destek sayfalarına bakmanızı öneririz. MetaversePost doğru, tarafsız raporlamaya kendini adamıştır, ancak piyasa koşulları önceden haber verilmeksizin değiştirilebilir.
Yazar hakkında
Alisa, kendini işine adamış bir gazetecidir. MPost, kripto para birimi, sıfır bilgi kanıtları, yatırımlar ve geniş kapsamlı bilgi alanında uzmanlaşmıştır. Web3. Gelişmekte olan trendlere ve teknolojilere yönelik keskin bir bakış açısıyla, okuyucuları sürekli gelişen dijital finans ortamı hakkında bilgilendirmek ve etkileşime geçirmek için kapsamlı bir kapsam sunuyor.
Daha fazla haber
Alisa, kendini işine adamış bir gazetecidir. MPost, kripto para birimi, sıfır bilgi kanıtları, yatırımlar ve geniş kapsamlı bilgi alanında uzmanlaşmıştır. Web3. Gelişmekte olan trendlere ve teknolojilere yönelik keskin bir bakış açısıyla, okuyucuları sürekli gelişen dijital finans ortamı hakkında bilgilendirmek ve etkileşime geçirmek için kapsamlı bir kapsam sunuyor.
