通过虚假 Python 基础设施恶意攻击超过 170,000 Top.gg 用户
简单来说
Top.gg GitHub 组织 170,000 万用户社区遭到恶意行为者针对软件供应链的攻击.
Top.gg GitHub 组织社区由超过 170,000 名成员组成,在针对软件供应链的攻击中成为恶意行为者的目标,有证据表明成功利用了该漏洞,影响了多名受害者。
3 月 XNUMX 日,用户在社区 Discord 聊天中提请“编辑器语法”注意与其帐户相关的可疑活动。 “editor-syntax”通过他的方式发现这种情况后感到震惊 GitHub上 帐户。很明显,该恶意软件已经影响了许多人,凸显了攻击的范围和影响。
威胁行为者在这次攻击中采用了各种策略、技术和程序 (TTP),其中包括通过窃取的浏览器 cookie 接管帐户、插入经过验证的提交的恶意代码、建立自定义的 Python 镜像以及将恶意包上传到 PyPi 注册表。
值得注意的是,攻击基础设施包含一个旨在模仿 Python 包镜像的网站,该网站在“files[.]pypihosted[.]org”域下注册——该域针对官方 蟒蛇 镜像“files.pythonhosted.org”,用于存储 PyPi 包工件文件的常用存储库。威胁行为者还通过复制并注入恶意代码来窃取 Colorama(一种广泛使用的工具,每月下载量超过 150 亿次)。他们通过使用空格填充来掩盖 Colorama 中的有害有效负载,并将这个修改过的版本托管在他们的误植域假镜像上。此外,攻击者的影响范围不仅仅限于通过其帐户创建恶意存储库。他们劫持了具有较高声誉的 GitHub 帐户,并利用与这些帐户相关的资源进行恶意提交。
除了通过恶意 GitHub 存储库传播恶意软件外,攻击者还利用恶意 Python 包“yocolor”来分发包含恶意软件的“colorama”包。使用相同的误植技术,不良行为者将恶意包托管在域“files[.]pypihosted[.]org”上,并使用与合法“colorama”包相同的名称。
通过操纵包安装过程并利用用户在 Python 包生态系统中的信任,攻击者确保只要在项目要求中指定恶意依赖项,就会安装恶意“colorama”包。这种策略使攻击者能够绕过怀疑并渗透到依赖 Python 打包系统完整性的毫无戒心的开发人员的系统中。
SlowMist CISO 揭示恶意软件从流行应用程序中提取大量数据
根据 SlowMist 首席信息安全官“23pds”,该恶意软件针对许多流行的软件应用程序,提取敏感数据,例如加密货币钱包信息、Discord 数据、浏览器数据、Telegram 会话等。
包含列表 加密货币钱包 该恶意软件以从受害者的系统中盗窃为目标,扫描与每个钱包链接的目录,并尽力提取与钱包相关的文件。随后,被盗的钱包数据被压缩成ZIP文件并传输到攻击者的服务器。
该恶意软件还试图窃取消息应用程序 Telegram 通过扫描链接到 Telegram 的目录和文件来获取会话数据。通过获取 Telegram 会话的访问权限,攻击者可能会未经授权进入受害者的 Telegram 帐户和通信。
该活动体现了恶意行为者通过 PyPI 和 GitHub 等可信平台传播恶意软件的复杂策略。最近的 Top.gg 事件凸显了在安装软件包和存储库时保持警惕的重要性,即使是来自信誉良好的来源。
免责声明
在与行 信托项目指南,请注意,本页提供的信息无意且不应被解释为法律、税务、投资、财务或任何其他形式的建议。 重要的是,仅投资您可以承受损失的金额,并在有任何疑问时寻求独立的财务建议。 如需了解更多信息,我们建议您参阅条款和条件以及发行人或广告商提供的帮助和支持页面。 MetaversePost 致力于提供准确、公正的报告,但市场状况如有变更,恕不另行通知。
关于作者
Alisa,一名热心记者 MPost,专注于加密货币、零知识证明、投资以及广泛的领域 Web3。她对新兴趋势和技术有着敏锐的洞察力,提供全面的报道,让读者了解和吸引读者了解不断发展的数字金融领域。
更多文章Alisa,一名热心记者 MPost,专注于加密货币、零知识证明、投资以及广泛的领域 Web3。她对新兴趋势和技术有着敏锐的洞察力,提供全面的报道,让读者了解和吸引读者了解不断发展的数字金融领域。