Eine nicht identifizierte Gruppe von Bedrohungsakteuren orchestrierte einen ausgeklügelten Cyberangriff auf die Lieferkette auf Mitglieder der Top.gg GitHub-Organisation sowie einzelne Entwickler, um bösartigen Code in das Code-Ökosystem einzuschleusen.

Die Angreifer infiltrierten vertrauenswürdige Softwareentwicklungselemente, um Entwickler zu kompromittieren. Sie kaperten GitHub-Konten mit gestohlenen Cookies, steuerten Schadcode über verifizierte Commits bei, richteten einen gefälschten Python-Spiegel ein und veröffentlichten infizierte Pakete in der PyPi-Registrierung.

„Mehrere TTPs helfen Angreifern, raffinierte Angriffe zu erstellen, sich der Entdeckung zu entziehen, erhöhen die Chancen auf eine erfolgreiche Ausnutzung und erschweren Verteidigungsbemühungen“, sagt Jossef Harush Kadouri, Leiter Software Supply Chain Security bei Checkmarx.

Laut einem Blogbeitrag von Checkmarx-Forschern nutzten die Angreifer eine überzeugende Typosquatting-Technik mit einer gefälschten Python-Spiegeldomäne, die der offiziellen ähnelte, um Benutzer zu täuschen.

Durch die Manipulation beliebter Python-Pakete wie Colorama – das von mehr als 150 Millionen Benutzern verwendet wird, um den Prozess der Textformatierung zu vereinfachen – versteckten die Angreifer bösartigen Code in scheinbar legitimer Software und erweiterten so ihre Reichweite über GitHub-Repositories hinaus.

Sie nutzten auch hoch angesehene GitHub Top.gg-Konten aus, um böswillige Commits einzuschleusen und die Glaubwürdigkeit ihrer Aktionen zu erhöhen. Top.gg hat 170,000 Mitglieder.

Datendiebstahl

In der letzten Phase des Angriffs stiehlt die von der Bedrohungsgruppe verwendete Malware dem Opfer vertrauliche Informationen. Es kann auf beliebte Benutzerplattformen abzielen, darunter Webbrowser wie Opera, Chrome und Edge – und dabei auf Cookies, Autofill-Daten und Anmeldeinformationen abzielen. Die Malware löscht auch Discord-Konten und missbraucht entschlüsselte Token, um sich unbefugten Zugriff auf die Konten der Opfer auf der Plattform zu verschaffen.

Die Malware kann die Kryptowährungs-Wallets, Telegram-Sitzungsdaten und Instagram-Profilinformationen des Opfers stehlen. Im letzteren Szenario nutzt der Angreifer die Sitzungstoken des Opfers, um dessen Kontodaten abzurufen, und verwendet einen Keylogger, um Tastenanschläge zu erfassen, wodurch möglicherweise Passwörter und persönliche Nachrichten kompromittiert werden.

Die gestohlenen Daten dieser einzelnen Angriffe werden dann mithilfe verschiedener Techniken, einschließlich anonymer Dateifreigabedienste und HTTP-Anfragen, auf den Server des Angreifers exfiltriert. Die Angreifer nutzen eindeutige Identifikatoren, um jedes Opfer zu verfolgen.

Um einer Entdeckung zu entgehen, setzten die Angreifer komplizierte Verschleierungstechniken in ihrem Code ein, darunter die Manipulation von Leerzeichen und irreführende Variablennamen. Sie richteten Persistenzmechanismen ein, modifizierten Systemregister und führten Datendiebstahloperationen in verschiedenen Softwareanwendungen durch.

Trotz dieser raffinierten Taktik bemerkten einige wachsame Top.gg-Community-Mitglieder die böswilligen Aktivitäten und meldeten sie, was laut Checkmarx dazu führte, dass Cloudflare die missbrauchten Domains löschte. Dennoch betrachtet Kadouri von Checkmarx die Bedrohung immer noch als „aktiv“.

So schützen Sie Entwickler

IT-Sicherheitsexperten sollten neue Code-Projektbeiträge regelmäßig überwachen und prüfen und sich auf die Aufklärung und Sensibilisierung der Entwickler für die Risiken von Angriffen auf die Lieferkette konzentrieren.

„Wir glauben daran, die Konkurrenz beiseite zu lassen und gemeinsam daran zu arbeiten, die Open-Source-Ökosysteme vor Angreifern zu schützen“, sagt Kadouri. „Die gemeinsame Nutzung von Ressourcen ist entscheidend, um einen Vorsprung gegenüber Bedrohungsakteuren in der Software-Lieferkette zu haben.“

Laut Kadouri ist damit zu rechnen, dass es weiterhin zu Angriffen auf die Software-Lieferkette kommen wird. „Ich glaube, dass die Entwicklung von Supply-Chain-Angriffen in den Bereichen Build-Pipelines, KI und große Sprachmodelle zunehmen wird.“

In jüngster Zeit haben Modell-Repositories für maschinelles Lernen wie Hugging Face Bedrohungsakteuren Möglichkeiten dazu geboten Schadcode in Entwicklungsumgebungen einschleusen, ähnlich den Open-Source-Repositorys npm und PyPI.

In letzter Zeit sind weitere Sicherheitsprobleme in der Software-Lieferkette aufgetreten, die Cloud-Versionen von JetBrains betreffen TeamCity-Softwareentwicklungsplattform Manager sowie bösartige Code-Updates schlüpfte im September in Hunderte von GitHub-Repositories.

Und schwache Authentifizierungs- und Zugangskontrollen ermöglichten es iranischen Hacktivisten, einen Angriff durchzuführen Supply-Chain-Angriff Anfang dieses Monats über einen Technologieanbieter an israelischen Universitäten.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/application-security/github-developers-hit-in-complex-supply-chain-cyberattack