Cuộc tấn công độc hại tấn công hơn 170,000 người dùng Top.gg thông qua cơ sở hạ tầng Python giả mạo
Tóm lại
Tổ chức Top.gg GitHub Cộng đồng 170,000 người dùng bị các tác nhân độc hại nhắm đến trong một cuộc tấn công vào chuỗi cung ứng phần mềm.
Cộng đồng tổ chức Top.gg GitHub, bao gồm hơn 170,000 thành viên, đã bị các tác nhân độc hại nhắm đến trong một cuộc tấn công vào chuỗi cung ứng phần mềm với bằng chứng cho thấy việc khai thác thành công, ảnh hưởng đến nhiều nạn nhân.
Vào ngày 3 tháng XNUMX, người dùng đã thu hút sự chú ý của “biên tập viên cú pháp” trên cuộc trò chuyện Discord của cộng đồng về các hoạt động đáng ngờ được liên kết với tài khoản của anh ấy. “biên tập cú pháp” đã bị sốc khi phát hiện ra sự việc thông qua GitHub tài khoản. Rõ ràng là phần mềm độc hại đã ảnh hưởng đến nhiều cá nhân, làm nổi bật mức độ và tác động của cuộc tấn công.
Các tác nhân đe dọa đã sử dụng nhiều Chiến thuật, Kỹ thuật và Quy trình (TTP) khác nhau trong cuộc tấn công này, bao gồm việc chiếm đoạt tài khoản thông qua cookie trình duyệt bị đánh cắp, chèn mã độc với các cam kết đã được xác minh, thiết lập máy nhân bản Python tùy chỉnh và tải các gói độc hại lên sổ đăng ký PyPi.
Đáng chú ý, cơ sở hạ tầng tấn công bao gồm một trang web được thiết kế để bắt chước một bản sao gói Python, được đăng ký dưới tên miền “files[.]pypihosted[.]org” – tên miền nhắm mục tiêu chính thức Python mirror, “files.pythonhosted.org,” kho lưu trữ thông thường để lưu trữ các tệp tạo phẩm gói PyPi. Những kẻ đe dọa cũng đã chiếm lấy Colorama, một công cụ được sử dụng rộng rãi với hơn 150 triệu lượt tải xuống hàng tháng, bằng cách sao chép nó và tiêm mã độc. Họ đã che giấu tải trọng có hại trong Colorama bằng cách sử dụng khoảng trống và lưu trữ phiên bản đã thay đổi này trên máy nhân bản giả mạo miền có lỗi chính tả của họ. Hơn nữa, phạm vi tiếp cận của kẻ tấn công còn vượt xa việc tạo các kho lưu trữ độc hại thông qua tài khoản của chúng. Họ đã chiếm đoạt các tài khoản GitHub có uy tín cao và sử dụng các tài nguyên được liên kết với các tài khoản đó để thực hiện các cam kết độc hại.
Ngoài việc phát tán phần mềm độc hại thông qua kho lưu trữ GitHub độc hại, những kẻ tấn công còn sử dụng gói Python độc hại “yocolor” để phân phối gói “colorama” có chứa phần mềm độc hại. Sử dụng cùng một kỹ thuật đánh máy, kẻ xấu đã lưu trữ gói độc hại trên miền “files[.]pypihosted[.]org” và sử dụng tên giống hệt với gói “colorama” hợp pháp.
Bằng cách thao túng quá trình cài đặt gói và khai thác lòng tin của người dùng trong hệ sinh thái gói Python, kẻ tấn công đảm bảo rằng gói “colorama” độc hại sẽ được cài đặt bất cứ khi nào phần phụ thuộc độc hại được chỉ định trong yêu cầu của dự án. Chiến thuật này cho phép kẻ tấn công vượt qua sự nghi ngờ và xâm nhập vào hệ thống của các nhà phát triển không nghi ngờ, những người dựa vào tính toàn vẹn của hệ thống đóng gói Python.
SlowMist CISO tiết lộ khả năng trích xuất dữ liệu mở rộng của phần mềm độc hại từ các ứng dụng phổ biến
Theo sương mù chậm Giám đốc An ninh Thông tin “23pds”, phần mềm độc hại nhắm mục tiêu vào nhiều ứng dụng phần mềm phổ biến, trích xuất dữ liệu nhạy cảm như thông tin ví tiền điện tử, dữ liệu Discord, dữ liệu trình duyệt, phiên Telegram, v.v.
Chứa danh sách các ví tiền điện tử Được nhắm mục tiêu đánh cắp từ hệ thống của nạn nhân, phần mềm độc hại đã quét các thư mục được liên kết với từng ví và cố gắng trích xuất các tệp liên quan đến ví. Sau đó, dữ liệu ví bị đánh cắp sẽ được nén thành tệp ZIP và truyền đến máy chủ của kẻ tấn công.
Phần mềm độc hại cũng cố gắng đánh cắp ứng dụng nhắn tin Telegram dữ liệu phiên bằng cách quét các thư mục và tệp được liên kết với Telegram. Bằng cách có được quyền truy cập vào các phiên Telegram, kẻ tấn công có thể đã xâm nhập trái phép vào tài khoản Telegram và thông tin liên lạc của nạn nhân.
Chiến dịch này minh họa cho các chiến thuật phức tạp mà các tác nhân độc hại sử dụng để phân phối phần mềm độc hại thông qua các nền tảng đáng tin cậy như PyPI và GitHub. Sự cố Top.gg gần đây nêu bật tầm quan trọng của việc cảnh giác khi cài đặt các gói và kho lưu trữ, ngay cả từ các nguồn có uy tín.
Từ chối trách nhiệm
Phù hợp với Hướng dẫn của Dự án Tin cậy, xin lưu ý rằng thông tin được cung cấp trên trang này không nhằm mục đích và không được hiểu là tư vấn pháp lý, thuế, đầu tư, tài chính hoặc bất kỳ hình thức tư vấn nào khác. Điều quan trọng là chỉ đầu tư những gì bạn có thể đủ khả năng để mất và tìm kiếm lời khuyên tài chính độc lập nếu bạn có bất kỳ nghi ngờ nào. Để biết thêm thông tin, chúng tôi khuyên bạn nên tham khảo các điều khoản và điều kiện cũng như các trang trợ giúp và hỗ trợ do nhà phát hành hoặc nhà quảng cáo cung cấp. MetaversePost cam kết báo cáo chính xác, không thiên vị nhưng điều kiện thị trường có thể thay đổi mà không cần thông báo trước.
Giới thiệu về Tác giả
Alisa, một nhà báo tận tâm tại MPost, chuyên về tiền điện tử, bằng chứng không có kiến thức, đầu tư và lĩnh vực mở rộng của Web3. Với con mắt quan tâm đến các xu hướng và công nghệ mới nổi, cô cung cấp thông tin toàn diện để cung cấp thông tin và thu hút độc giả trong bối cảnh không ngừng phát triển của tài chính kỹ thuật số.
Xem thêm bài viết
Alisa, một nhà báo tận tâm tại MPost, chuyên về tiền điện tử, bằng chứng không có kiến thức, đầu tư và lĩnh vực mở rộng của Web3. Với con mắt quan tâm đến các xu hướng và công nghệ mới nổi, cô cung cấp thông tin toàn diện để cung cấp thông tin và thu hút độc giả trong bối cảnh không ngừng phát triển của tài chính kỹ thuật số.
