Зловмисна атака вразила понад 170,000 XNUMX користувачів Top.gg через підроблену інфраструктуру Python
Коротко
Організація Top.gg GitHub зі 170,000 XNUMX користувачів стала мішенню зловмисників під час атаки на ланцюг постачання програмного забезпечення.
Спільнота організацій Top.gg GitHub, що налічує понад 170,000 XNUMX членів, стала мішенню зловмисників під час атаки на ланцюжок постачання програмного забезпечення з доказами успішного використання, що вплинуло на багатьох жертв.
3 березня користувачі звернули увагу «редактора-синтаксису» в чаті спільноти Discord про підозрілу діяльність, пов’язану з його обліковим записом. «редактор-синтаксис» був шокований, виявивши ситуацію через його GitHub рахунок. Стало очевидним, що зловмисне програмне забезпечення вразило багатьох людей, підкреслюючи масштаби та вплив атаки.
Зловмисники використовували різні тактики, прийоми та процедури (TTP) у цій атаці, яка включала захоплення облікового запису за допомогою вкрадених файлів cookie браузера, вставлення шкідливого коду з перевіреними комітами, встановлення налаштованого дзеркала Python і завантаження шкідливих пакетів до реєстру PyPi.
Примітно, що інфраструктура атаки охоплювала веб-сайт, розроблений для імітації дзеркала пакета Python, зареєстрований у домені «files[.]pypihosted[.]org» — домен, націлений на офіційного Python дзеркало, «files.pythonhosted.org», звичайне сховище для зберігання файлів артефактів пакунків PyPi. Зловмисники також заволоділи Colorama, широко використовуваним інструментом із понад 150 мільйонами завантажень щомісяця, скопіювавши його та впровадивши шкідливий код. Вони приховали шкідливе корисне навантаження в Colorama за допомогою пробілу та розмістили цю змінену версію на своєму фейковому дзеркалі typosquatted-domain. Крім того, охоплення зловмисників вийшло за межі створення шкідливих сховищ через їхні облікові записи. Вони захопили облікові записи GitHub із високою репутацією та використовували ресурси, пов’язані з цими обліковими записами, для здійснення зловмисних комітів.
Окрім розповсюдження зловмисного програмного забезпечення через шкідливі репозиторії GitHub, зловмисники також використовували шкідливий пакет Python «yocolor» для розповсюдження пакета «colorama», що містить зловмисне програмне забезпечення. Застосовуючи ту саму техніку typosquatting, зловмисники розмістили шкідливий пакет у домені «files[.]pypihosted[.]org» і використовували ім’я, ідентичне законному пакету «colorama».
Маніпулюючи процесом інсталяції пакета та використовуючи довіру користувачів до екосистеми пакетів Python, зловмисник гарантував, що зловмисний пакет «colorama» буде встановлено щоразу, коли зловмисна залежність була вказана у вимогах проекту. Ця тактика дозволила зловмиснику обійти підозри та проникнути в системи нічого не підозрюючих розробників, які покладалися на цілісність системи пакування Python.
SlowMist CISO розкриває широке вилучення даних шкідливими програмами з популярних програм
За оцінками Повільний туман Chief Information Security Officer «23pds», зловмисне програмне забезпечення було націлено на багато популярних програмних додатків, витягуючи конфіденційні дані, такі як інформація про гаманець криптовалюти, дані Discord, дані браузера, сеанси Telegram тощо.
Містить список крипто-валютні кошельки спрямоване на крадіжку з системи жертви, зловмисне програмне забезпечення сканувало каталоги, пов’язані з кожним гаманцем, і намагалося витягти файли, пов’язані з гаманцем. Згодом вкрадені дані гаманця були стиснуті в ZIP-файли та передані на сервер зловмисника.
Зловмисне програмне забезпечення також намагалося викрасти додаток для обміну повідомленнями Telegram дані сесії шляхом сканування каталогів і файлів, пов’язаних із Telegram. Отримавши доступ до сеансів Telegram, зловмисник міг отримати несанкціонований доступ до облікового запису Telegram і зв’язку жертви.
Ця кампанія є прикладом складної тактики, яку зловмисники використовують для поширення шкідливого програмного забезпечення через надійні платформи, такі як PyPI та GitHub. Недавній інцидент із Top.gg підкреслює важливість пильності під час встановлення пакунків і сховищ, навіть із авторитетних джерел.
відмова
Відповідно до Правила проекту Trust, будь ласка, зверніть увагу, що інформація, надана на цій сторінці, не призначена і не повинна тлумачитися як юридична, податкова, інвестиційна, фінансова або будь-яка інша форма консультації. Важливо інвестувати лише те, що ви можете дозволити собі втратити, і звернутися за незалежною фінансовою порадою, якщо у вас виникнуть сумніви. Щоб отримати додаткову інформацію, ми пропонуємо звернутися до положень та умов, а також до сторінок довідки та підтримки, наданих емітентом або рекламодавцем. MetaversePost прагне до точного, неупередженого звітування, але ринкові умови можуть змінюватися без попередження.
про автора
Аліса, відданий журналіст на MPost, спеціалізується на криптовалюті, доказах з нульовим знанням, інвестиціях і великій сфері Web3. З гострим поглядом на нові тенденції та технології, вона надає всебічне висвітлення, щоб інформувати та залучати читачів до постійно змінюваного ландшафту цифрових фінансів.
інші статті
Аліса, відданий журналіст на MPost, спеціалізується на криптовалюті, доказах з нульовим знанням, інвестиціях і великій сфері Web3. З гострим поглядом на нові тенденції та технології, вона надає всебічне висвітлення, щоб інформувати та залучати читачів до постійно змінюваного ландшафту цифрових фінансів.
