Неизвестные злоумышленники организовали сложную кампанию атак, в результате которой пострадали несколько отдельных разработчиков, а также учетная запись организации GitHub, связанная с Top.gg, сайтом обнаружения ботов Discord.
"В этой атаке злоумышленники использовали несколько TTP, включая захват учетной записи с помощью украденных файлов cookie браузера, ввод вредоносного кода с проверенными коммит-кодами, настройку пользовательского зеркала Python и публикацию вредоносных пакетов в реестре PyPI", - сказал Checkmarx в техническом отчете, опубликованном в Hacker News.
Утверждается, что атака по цепочке поставок программного обеспечения привела к краже конфиденциальной информации, включая пароли, учетные данные и другие ценные данные. Некоторые аспекты кампании были ранее раскрыты в начале месяца разработчиком из Египта по имени Мохаммед Диф.
В основном это повлекло за собой создание хитроумной опечатки официального домена PyPI, известного как "files.pythonhosted [.]org", присвоив ему имя "files.pypihosted [.]org" и используя его для размещения троянских версий известных пакетов, таких как colorama. С тех пор Cloudflare заблокировала домен.
"Злоумышленники взяли Colorama (очень популярный инструмент с более чем 150 миллионами загрузок в месяц), скопировали его и вставили вредоносный код", - заявили исследователи Checkmarx. "Затем они скрыли вредоносную полезную нагрузку в Colorama, используя пробел, и разместили эту модифицированную версию на своем поддельном зеркале с опечаткой домена".
Затем эти мошеннические пакеты распространялись через репозитории GitHub, такие как github[.]com / maleduque /Valorant-Checker и github[.]com / Fronse / League-of-Legends-Checker, которые содержали requirements.txt файл, который служит списком пакетов Python, устанавливаемых менеджером пакетов pip.
Один репозиторий, который продолжает оставаться активным на момент написания статьи, - это <a>github[.]com /whiteblackgang12 / Discord-Token-Generator</a>, который содержит ссылку на вредоносную версию colorama, размещенную на "files.pypihosted[.]org".
Также в рамках кампании изменен requirements.txt файл, связанный с Top.gg's python-sdk учетной записью с именем editor-syntax 20 февраля 2024 года. Проблема была решена сопровождающими репозитория.
Стоит отметить, что учетная запись "editor-syntax" является законным сопровождающим организации Top.gg GitHub и имеет письменные разрешения на Top.gg, что указывает на то, что субъекту угрозы удалось захватить подтвержденную учетную запись для совершения вредоносного коммита.
"Учетная запись "редактора-синтаксиса" на GitHub, вероятно, была взломана с помощью украденных файлов cookie", - отметил Checkmarx.
"Злоумышленник получил доступ к сессионным файлам cookie учетной записи, что позволяет им обходить аутентификацию и выполнять вредоносные действия с использованием пользовательского интерфейса GitHub. Этот метод захвата учетной записи вызывает особую озабоченность, поскольку он не требует, чтобы злоумышленник знал пароль учетной записи."
Более того, актеры опасная за кампании, как говорят, подтолкнули множественные изменения в изгоев репозиториев в одном совершить, изменяя аж 52 файлов в одном экземпляре в попытках скрыть изменения requirements.txt файл.
Вредоносное ПО, встроенное в поддельный пакет colorama, активирует многоступенчатую последовательность заражения, которая приводит к выполнению кода Python с удаленного сервера, который, в свою очередь, способен устанавливать постоянство на хосте посредством изменений реестра Windows и красть данные из веб-браузеров, криптокошельков, токенов Discord и токенов сессий, связанных с Instagram и Telegram.
"Вредоносное ПО включает компонент для кражи файлов, который выполняет поиск файлов с определенными ключевыми словами в их названиях или расширениях", - сказали исследователи. "Оно нацелено на такие каталоги, как рабочий стол, загрузки, документы и недавние файлы".
Захваченные данные в конечном итоге передаются злоумышленникам через анонимные файлообменные сервисы, такие как GoFile и Anonfiles. В качестве альтернативы данные также отправляются в инфраструктуру субъекта угрозы с помощью HTTP-запросов вместе с идентификатором оборудования или IP-адресом для отслеживания компьютера-жертвы.
"Эта кампания является ярким примером изощренной тактики, используемой злоумышленниками для распространения вредоносного ПО через надежные платформы, такие как PyPI и GitHub", - заключил исследователь.
"Этот инцидент подчеркивает важность бдительности при установке пакетов и репозиториев даже из надежных источников. Крайне важно тщательно проверять зависимости, отслеживать подозрительную сетевую активность и поддерживать надежные методы обеспечения безопасности, чтобы снизить риск стать жертвой таких атак."
https://thehackernews.uk/EUN089
