Команда Checkmarx Research обнаружила атаку на цепочку поставок программного обеспечения, которая крадет конфиденциальную информацию у различных жертв, включая Top.gg GitHub и нескольких разработчиков.
Атакующие использовали несколько методов, включая захват аккаунтов через украденные куки, предоставление вредоносного кода с проверенными коммитами и публикацию вредоносных пакетов в реестре PyPi. Злоумышленники также создали поддельное зеркало Python для распространения вредоносных зависимостей и захватили аккаунты GitHub с высокой репутацией. Они также использовали украденные cookie-файлы для захвата аккаунтов. Атака вызывает беспокойство из-за сложности ее обнаружения и использования легитимных инструментов и сервисов. Top.gg - одна из жертв этой атаки.
- Злоумышленник комбинировал несколько TTP для проведения бесшумной атаки на цепочку поставок программного обеспечения, похищая конфиденциальную информацию у жертв.
- Для обмана жертв злоумышленники создали несколько вредоносных инструментов с открытым исходным кодом с описанием в виде кликабельных ссылок, которые, скорее всего, поступали из поисковых систем.
- Злоумышленник распространял вредоносную зависимость, размещенную на поддельной инфраструктуре Python, связывая ее с популярными проектами на GitHub и с легитимными пакетами Python. Были захвачены аккаунты GitHub, опубликованы вредоносные пакеты Python, а также использованы схемы социальной инженерии.
- Многоступенчатая и уклончивая вредоносная полезная нагрузка собирает пароли, учетные данные и другие дампы ценных данных с зараженных систем и переправляет их в инфраструктуру злоумышленника.
- В этой атаке участники угрозы развернули поддельное зеркало пакетов Python, которое было успешно использовано для развертывания отравленной копии популярного пакета "colorama".
- Среди жертв также есть контрибьютор top.gg, чей репозиторий кода сообщества top.gg (170K+ членов) был затронут атакой.
Indicators of Compromise
IPv4
- 162.248.100.117
- 162.248.100.217
- 162.248.101.215
URLs
- https://files.pypihosted.org/packages/d8/53/6f443c9a4a8358a93a6792e2acffb9d9d5cb0a5cfd8802644b7b1c9a02e4/colorama-0.4.3.tar.gz
- https://files.pypihosted.org/packages/d8/53/6f443c9a4a8358a93a6792e2acffb9d9d5cb0a5cfd8802644b7b1c9a02e4/colorama-0.4.6.tar.gz
- https://files.pythanhosted.org/packages/d8/53/6f443c9a4a8358a93a6792e2acffb9d9d5cb0a5cfd8802644b7b1c9a02e4/colorama-0.4.5.tar.gz
- pypihosted.org/version
SHA256
- 0c1873196dbd88280f4d5cf409b7b53674b3ed85f8a1a28ece9caf2f98a71207
- 35ac61c83b85f6ddcf8ec8747f44400399ce3a9986d355834b68630270e669fb
- c53b93be72e700f7e0c8d5333acd68f9dc5505fb5b71773ca9a8668b98a17ba8