Звіт про новини Технологія
Березня 26, 2024

Зловмисна атака вразила понад 170,000 XNUMX користувачів Top.gg через підроблену інфраструктуру Python

Коротко

Організація Top.gg GitHub зі 170,000 XNUMX користувачів стала мішенню зловмисників під час атаки на ланцюг постачання програмного забезпечення

Зловмисна атака вразила понад 170,000 XNUMX користувачів Top.gg через підроблену інфраструктуру Python

Спільнота організацій Top.gg GitHub, що налічує понад 170,000 XNUMX членів, стала мішенню зловмисників під час атаки на ланцюжок постачання програмного забезпечення з доказами успішного використання, що вплинуло на багатьох жертв.

3 березня користувачі звернули увагу «редактора-синтаксису» в чаті спільноти Discord про підозрілу діяльність, пов’язану з його обліковим записом. «редактор-синтаксис» був шокований, виявивши ситуацію через його GitHub рахунок. Стало очевидним, що зловмисне програмне забезпечення вразило багатьох людей, підкреслюючи масштаби та вплив атаки.

Зловмисники використовували різні тактики, прийоми та процедури (TTP) у цій атаці, яка включала захоплення облікового запису за допомогою вкрадених файлів cookie браузера, вставлення шкідливого коду з перевіреними комітами, встановлення налаштованого дзеркала Python і завантаження шкідливих пакетів до реєстру PyPi.

Примітно, що інфраструктура атаки охоплювала веб-сайт, розроблений для імітації дзеркала пакета Python, зареєстрований у домені «files[.]pypihosted[.]org» — домен, націлений на офіційного Python дзеркало, «files.pythonhosted.org», звичайне сховище для зберігання файлів артефактів пакунків PyPi. Зловмисники також заволоділи Colorama, широко використовуваним інструментом із понад 150 мільйонами завантажень щомісяця, скопіювавши його та впровадивши шкідливий код. Вони приховали шкідливе корисне навантаження в Colorama за допомогою пробілу та розмістили цю змінену версію на своєму фейковому дзеркалі typosquatted-domain. Крім того, охоплення зловмисників вийшло за межі створення шкідливих сховищ через їхні облікові записи. Вони захопили облікові записи GitHub із високою репутацією та використовували ресурси, пов’язані з цими обліковими записами, для здійснення зловмисних комітів. 

Окрім розповсюдження зловмисного програмного забезпечення через шкідливі репозиторії GitHub, зловмисники також використовували шкідливий пакет Python «yocolor» для розповсюдження пакета «colorama», що містить зловмисне програмне забезпечення. Застосовуючи ту саму техніку typosquatting, зловмисники розмістили шкідливий пакет у домені «files[.]pypihosted[.]org» і використовували ім’я, ідентичне законному пакету «colorama».

Маніпулюючи процесом інсталяції пакета та використовуючи довіру користувачів до екосистеми пакетів Python, зловмисник гарантував, що зловмисний пакет «colorama» буде встановлено щоразу, коли зловмисна залежність була вказана у вимогах проекту. Ця тактика дозволила зловмиснику обійти підозри та проникнути в системи нічого не підозрюючих розробників, які покладалися на цілісність системи пакування Python.

За оцінками Повільний туман Chief Information Security Officer «23pds», зловмисне програмне забезпечення було націлено на багато популярних програмних додатків, витягуючи конфіденційні дані, такі як інформація про гаманець криптовалюти, дані Discord, дані браузера, сеанси Telegram тощо.

Містить список крипто-валютні кошельки спрямоване на крадіжку з системи жертви, зловмисне програмне забезпечення сканувало каталоги, пов’язані з кожним гаманцем, і намагалося витягти файли, пов’язані з гаманцем. Згодом вкрадені дані гаманця були стиснуті в ZIP-файли та передані на сервер зловмисника.

Зловмисне програмне забезпечення також намагалося викрасти додаток для обміну повідомленнями Telegram дані сесії шляхом сканування каталогів і файлів, пов’язаних із Telegram. Отримавши доступ до сеансів Telegram, зловмисник міг отримати несанкціонований доступ до облікового запису Telegram і зв’язку жертви.

Ця кампанія є прикладом складної тактики, яку зловмисники використовують для поширення шкідливого програмного забезпечення через надійні платформи, такі як PyPI та GitHub. Недавній інцидент із Top.gg підкреслює важливість пильності під час встановлення пакунків і сховищ, навіть із авторитетних джерел. 

відмова

Відповідно до Правила проекту Trust, будь ласка, зверніть увагу, що інформація, надана на цій сторінці, не призначена і не повинна тлумачитися як юридична, податкова, інвестиційна, фінансова або будь-яка інша форма консультації. Важливо інвестувати лише те, що ви можете дозволити собі втратити, і звернутися за незалежною фінансовою порадою, якщо у вас виникнуть сумніви. Щоб отримати додаткову інформацію, ми пропонуємо звернутися до положень та умов, а також до сторінок довідки та підтримки, наданих емітентом або рекламодавцем. MetaversePost прагне до точного, неупередженого звітування, але ринкові умови можуть змінюватися без попередження.

про автора

Аліса, відданий журналіст на MPost, спеціалізується на криптовалюті, доказах з нульовим знанням, інвестиціях і великій сфері Web3. З гострим поглядом на нові тенденції та технології, вона надає всебічне висвітлення, щоб інформувати та залучати читачів до постійно змінюваного ландшафту цифрових фінансів.

інші статті
Аліса Девідсон
Аліса Девідсон

Аліса, відданий журналіст на MPost, спеціалізується на криптовалюті, доказах з нульовим знанням, інвестиціях і великій сфері Web3. З гострим поглядом на нові тенденції та технології, вона надає всебічне висвітлення, щоб інформувати та залучати читачів до постійно змінюваного ландшафту цифрових фінансів.

Hot Stories
Приєднуйтеся до нашої розсилки.
Останні новини

Від Ripple до The Big Green DAO: як криптовалютні проекти сприяють благодійності

Давайте розглянемо ініціативи, які використовують потенціал цифрових валют для благодійних цілей.

Дізнайтеся більше

AlphaFold 3, Med-Gemini та інші: як AI трансформує охорону здоров’я у 2024 році

ШІ проявляється різними способами в охороні здоров’я, від виявлення нових генетичних кореляцій до розширення можливостей роботизованих хірургічних систем...

Дізнайтеся більше
Приєднуйтесь до нашої спільноти інноваційних технологій
Детальніше
Читати далі
Pyth Network розгортає Pull Oracle на Solana, надаючи розробникам доступ до цін Oracle
Звіт про новини Технологія
Pyth Network розгортає Pull Oracle на Solana, надаючи розробникам доступ до цін Oracle
17 Червня, 2024.
ШІ та ігрові партнери Aethir Airdrop Токени власникам вузла перевірки
Featured Звіт про новини Технологія
ШІ та ігрові партнери Aethir Airdrop Токени власникам вузла перевірки
17 Червня, 2024.
Notional Finance повністю припинить підтримку V2 до кінця липня, закликає користувачів перейти на V3
Звіт про новини Технологія
Notional Finance повністю припинить підтримку V2 до кінця липня, закликає користувачів перейти на V3
17 Червня, 2024.
Tether запускає платформу Alloy за підтримки Tether Gold і представляє перший токен aUSD₮
ринки Звіт про новини Технологія
Tether запускає платформу Alloy за підтримки Tether Gold і представляє перший токен aUSD₮
17 Червня, 2024.
CRYPTOMERIA LABS PTE. LTD.