透過虛假 Python 基礎設施惡意攻擊超過 170,000 Top.gg 用戶
簡單來說
Top.gg GitHub 組織 170,000 萬用戶社群遭到惡意行為者針對軟體供應鏈的攻擊.
Top.gg GitHub 組織社群由超過 170,000 萬名成員組成,在針對軟體供應鏈的攻擊中成為惡意行為者的目標,有證據表明成功利用了該漏洞,影響了多名受害者。
3 月 XNUMX 日,用戶在社群 Discord 聊天中提請「編輯器語法」注意與其帳戶相關的可疑活動。 「editor-syntax」透過他的方式發現這種情況後感到震驚 GitHub上 帳戶。很明顯,該惡意軟體已經影響了許多人,凸顯了攻擊的範圍和影響。
威脅行為者在這次攻擊中採用了各種策略、技術和程序(TTP),其中包括透過竊取的瀏覽器cookie 接管帳戶、插入經過驗證的提交的惡意程式碼、建立自訂的Python 鏡像以及將惡意包上傳到PyPi 註冊表。
值得注意的是,攻擊基礎設施包含一個旨在模仿 Python 套件鏡像的網站,該網站在「files[.]pypihosted[.]org」網域下註冊——該網域針對官方 蟒蛇 鏡像“files.pythonhosted.org”,用於儲存 PyPi 套件工件檔案的常用儲存庫。威脅行為者還透過複製並注入惡意程式碼來竊取 Colorama(一種廣泛使用的工具,每月下載量超過 150 億次)。他們透過使用空格填充來掩蓋 Colorama 中的有害有效負載,並將這個修改過的版本託管在他們的誤植域假鏡像上。此外,攻擊者的影響範圍不僅限於透過其帳戶建立惡意儲存庫。他們劫持了具有較高聲譽的 GitHub 帳戶,並利用與這些帳戶相關的資源進行惡意提交。
除了透過惡意 GitHub 儲存庫傳播惡意軟體外,攻擊者還利用惡意 Python 套件「yocolor」來分發包含惡意軟體的「colorama」套件。使用相同的誤植技術,不良行為者將惡意套件託管在網域「files[.]pypihosted[.]org」上,並使用與合法「colorama」套件相同的名稱。
透過操縱套件安裝過程並利用使用者在 Python 套件生態系統中的信任,攻擊者確保只要在專案要求中指定惡意依賴項,就會安裝惡意「colorama」套件。這種策略使攻擊者能夠繞過懷疑並滲透到依賴 Python 打包系統完整性的毫無戒心的開發人員的系統中。
SlowMist CISO 揭示惡意軟體從流行應用程式中提取大量數據
根據 慢霧 首席資訊安全官“23pds”,該惡意軟體針對許多流行的軟體應用程序,提取敏感數據,例如加密貨幣錢包資訊、Discord 數據、瀏覽器數據、Telegram 會話等。
包含列表 加密貨幣錢包 該惡意軟體以從受害者的系統中盜竊為目標,掃描與每個錢包連結的目錄,並盡力提取與錢包相關的檔案。隨後,被盜的錢包資料被壓縮成ZIP檔案並傳輸到攻擊者的伺服器。
該惡意軟體還試圖竊取訊息應用程式 Telegram 透過掃描連結到 Telegram 的目錄和檔案來獲取會話資料。透過取得 Telegram 會話的存取權限,攻擊者可能會未經授權進入受害者的 Telegram 帳戶和通訊。
該活動體現了惡意行為者透過 PyPI 和 GitHub 等可信任平台分發惡意軟體所採用的複雜策略。最近的 Top.gg 事件凸顯了在安裝軟體包和儲存庫時保持警惕的重要性,即使是來自信譽良好的來源。
免責聲明
在與線 信託專案指南,請注意,本頁提供的資訊無意且不應被解釋為法律、稅務、投資、財務或任何其他形式的建議。 重要的是,僅投資您可以承受損失的金額,並在有任何疑問時尋求獨立的財務建議。 如需了解更多信息,我們建議您參閱條款和條件以及發行人或廣告商提供的幫助和支援頁面。 MetaversePost 致力於提供準確、公正的報告,但市場狀況如有變更,恕不另行通知。
關於作者
Alisa,一位熱心記者 MPost,專注於加密貨幣、零知識證明、投資以及廣泛的領域 Web3。她對新興趨勢和技術有著敏銳的洞察力,提供全面的報道,讓讀者了解並吸引讀者了解不斷發展的數位金融領域。
更多文章
Alisa,一位熱心記者 MPost,專注於加密貨幣、零知識證明、投資以及廣泛的領域 Web3。她對新興趨勢和技術有著敏銳的洞察力,提供全面的報道,讓讀者了解並吸引讀者了解不斷發展的數位金融領域。
