Более 170 тысяч пользователей пострадали от атаки с использованием поддельной инфраструктуры Python

Опубликовано

Команда Checkmarx Research обнаружила атаку на цепочку поставок программного обеспечения, которая крадет конфиденциальную информацию у различных жертв, включая Top.gg GitHub и нескольких разработчиков.

Атакующие использовали несколько методов, включая захват аккаунтов через украденные куки, предоставление вредоносного кода с проверенными коммитами и публикацию вредоносных пакетов в реестре PyPi. Злоумышленники также создали поддельное зеркало Python для распространения вредоносных зависимостей и захватили аккаунты GitHub с высокой репутацией. Они также использовали украденные cookie-файлы для захвата аккаунтов. Атака вызывает беспокойство из-за сложности ее обнаружения и использования легитимных инструментов и сервисов. Top.gg - одна из жертв этой атаки.

  • Злоумышленник комбинировал несколько TTP для проведения бесшумной атаки на цепочку поставок программного обеспечения, похищая конфиденциальную информацию у жертв.
  • Для обмана жертв злоумышленники создали несколько вредоносных инструментов с открытым исходным кодом с описанием в виде кликабельных ссылок, которые, скорее всего, поступали из поисковых систем.
  • Злоумышленник распространял вредоносную зависимость, размещенную на поддельной инфраструктуре Python, связывая ее с популярными проектами на GitHub и с легитимными пакетами Python. Были захвачены аккаунты GitHub, опубликованы вредоносные пакеты Python, а также использованы схемы социальной инженерии.
  • Многоступенчатая и уклончивая вредоносная полезная нагрузка собирает пароли, учетные данные и другие дампы ценных данных с зараженных систем и переправляет их в инфраструктуру злоумышленника.
  • В этой атаке участники угрозы развернули поддельное зеркало пакетов Python, которое было успешно использовано для развертывания отравленной копии популярного пакета "colorama".
  • Среди жертв также есть контрибьютор top.gg, чей репозиторий кода сообщества top.gg (170K+ членов) был затронут атакой.

Indicators of Compromise

IPv4

  • 162.248.100.117
  • 162.248.100.217
  • 162.248.101.215

URLs

  • https://files.pypihosted.org/packages/d8/53/6f443c9a4a8358a93a6792e2acffb9d9d5cb0a5cfd8802644b7b1c9a02e4/colorama-0.4.3.tar.gz
  • https://files.pypihosted.org/packages/d8/53/6f443c9a4a8358a93a6792e2acffb9d9d5cb0a5cfd8802644b7b1c9a02e4/colorama-0.4.6.tar.gz
  • https://files.pythanhosted.org/packages/d8/53/6f443c9a4a8358a93a6792e2acffb9d9d5cb0a5cfd8802644b7b1c9a02e4/colorama-0.4.5.tar.gz
  • pypihosted.org/version

SHA256

  • 0c1873196dbd88280f4d5cf409b7b53674b3ed85f8a1a28ece9caf2f98a71207
  • 35ac61c83b85f6ddcf8ec8747f44400399ce3a9986d355834b68630270e669fb
  • c53b93be72e700f7e0c8d5333acd68f9dc5505fb5b71773ca9a8668b98a17ba8

Похожие записи:

  1. WASP Stealer IOCs
  2. W4SPStealer IOCs
  3. Эволюционная история стойкой угрозы Python
  4. Злоумышленник, скрывавшийся от посторонних глаз почти полгода, нацелился на разработчиков Python
  5. Cамозваные HTTP-библиотеки скрываются на PyPI
Checkmarx Python
Добавить комментарий