Μια άγνωστη ομάδα παραγόντων απειλών ενορχήστρωσε μια εξελιγμένη κυβερνοεπίθεση της εφοδιαστικής αλυσίδας σε μέλη του οργανισμού Top.gg GitHub καθώς και σε μεμονωμένους προγραμματιστές προκειμένου να εισάγουν κακόβουλο κώδικα στο οικοσύστημα κώδικα.
Οι εισβολείς διείσδυσαν αξιόπιστα στοιχεία ανάπτυξης λογισμικού για να παραβιάσουν τους προγραμματιστές. Πήραν λογαριασμούς GitHub με κλεμμένα cookies, συνεισέφεραν κακόβουλο κώδικα μέσω επαληθευμένων δεσμεύσεων, δημιούργησαν έναν πλαστό καθρέφτη Python και κυκλοφόρησαν μολυσμένα πακέτα στο μητρώο PyPi.
«Πολλαπλά TTP βοηθούν τους επιτιθέμενους να δημιουργούν εξελιγμένες επιθέσεις, να αποφεύγουν τον εντοπισμό, να αυξάνουν τις πιθανότητες επιτυχούς εκμετάλλευσης και να περιπλέκουν τις αμυντικές προσπάθειες», λέει ο Jossef Harush Kadouri, επικεφαλής ασφάλειας εφοδιαστικής αλυσίδας λογισμικού στην Checkmarx.
Οι επιτιθέμενοι χρησιμοποίησαν μια πειστική τεχνική typosquatting με έναν ψεύτικο κατοπτρικό τομέα Python που μοιάζει με τον επίσημο για να εξαπατήσουν τους χρήστες, σύμφωνα με μια ανάρτηση ιστολογίου από ερευνητές του Checkmarx.
Παραβιάζοντας δημοφιλή πακέτα Python όπως το Colorama - το οποίο χρησιμοποιείται από περισσότερους από 150 εκατομμύρια χρήστες για να απλοποιήσει τη διαδικασία μορφοποίησης κειμένου - οι εισβολείς απέκρυψαν κακόβουλο κώδικα μέσα σε φαινομενικά νόμιμο λογισμικό, επεκτείνοντας την εμβέλειά τους πέρα από τα αποθετήρια GitHub.
Εκμεταλλεύτηκαν επίσης λογαριασμούς GitHub Top.gg υψηλής φήμης για να εισαγάγουν κακόβουλες δεσμεύσεις και να αυξήσουν την αξιοπιστία των ενεργειών τους. Το Top.gg αποτελείται από 170,000 μέλη.
Κλοπή δεδομένων
Στο τελικό στάδιο της επίθεσης, το κακόβουλο λογισμικό που χρησιμοποιείται από την ομάδα απειλών κλέβει ευαίσθητες πληροφορίες από το θύμα. Μπορεί να στοχεύει δημοφιλείς πλατφόρμες χρηστών, συμπεριλαμβανομένων προγραμμάτων περιήγησης Ιστού όπως Opera, Chrome και Edge — στοχεύοντας cookie, δεδομένα αυτόματης συμπλήρωσης και διαπιστευτήρια. Το κακόβουλο λογισμικό εξαλείφει επίσης λογαριασμούς Discord και κάνει κατάχρηση αποκρυπτογραφημένων διακριτικών για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε λογαριασμούς θυμάτων στην πλατφόρμα.
Το κακόβουλο λογισμικό μπορεί να κλέψει τα πορτοφόλια κρυπτονομισμάτων του θύματος, τα δεδομένα συνεδρίας του Telegram και τις πληροφορίες προφίλ Instagram. Στο τελευταίο σενάριο, ο εισβολέας χρησιμοποιεί τα διακριτικά συνεδρίας του θύματος για να ανακτήσει τα στοιχεία του λογαριασμού του, χρησιμοποιώντας ένα keylogger για να καταγράψει πληκτρολογήσεις, που ενδέχεται να διακυβεύουν κωδικούς πρόσβασης και προσωπικά μηνύματα.
Τα κλεμμένα δεδομένα από αυτές τις μεμονωμένες επιθέσεις στη συνέχεια διοχετεύονται στον διακομιστή του εισβολέα χρησιμοποιώντας διάφορες τεχνικές, συμπεριλαμβανομένων ανώνυμων υπηρεσιών κοινής χρήσης αρχείων και αιτημάτων HTTP. Οι εισβολείς χρησιμοποιούν μοναδικά αναγνωριστικά για να παρακολουθούν κάθε θύμα.
Για να αποφύγουν τον εντοπισμό, οι εισβολείς χρησιμοποίησαν περίπλοκες τεχνικές συσκότισης στον κώδικά τους, συμπεριλαμβανομένης της χειραγώγησης κενών διαστημάτων και των παραπλανητικών ονομάτων μεταβλητών. Καθιέρωσαν μηχανισμούς επιμονής, τροποποίησαν μητρώα συστημάτων και εκτέλεσαν λειτουργίες κλοπής δεδομένων σε διάφορες εφαρμογές λογισμικού.
Παρά αυτές τις περίπλοκες τακτικές, ορισμένα άγρυπνα μέλη της κοινότητας του Top.gg παρατήρησαν τις κακόβουλες δραστηριότητες και τις ανέφεραν, κάτι που οδήγησε στο Cloudflare να καταργήσει τους καταχρηστικούς τομείς, σύμφωνα με το Checkmarx. Ακόμα κι έτσι, ο Kadouri του Checkmarx εξακολουθεί να θεωρεί την απειλή ως «ενεργή».
Πώς να προστατέψετε τους προγραμματιστές
Οι επαγγελματίες ασφάλειας πληροφορικής θα πρέπει να παρακολουθούν και να ελέγχουν τακτικά τις συνεισφορές έργων νέου κώδικα και να εστιάζουν στην εκπαίδευση και την ευαισθητοποίηση των προγραμματιστών σχετικά με τους κινδύνους επιθέσεων στην αλυσίδα εφοδιασμού.
«Πιστεύουμε στο να παραμερίσουμε τον ανταγωνισμό και να εργαστούμε μαζί για να κάνουμε τα οικοσυστήματα ανοιχτού κώδικα ασφαλή από τους επιτιθέμενους», λέει ο Kadouri. «Η κοινή χρήση πόρων είναι ζωτικής σημασίας για να έχουμε ένα πλεονέκτημα έναντι των παραγόντων απειλής της αλυσίδας εφοδιασμού λογισμικού».
Αναμένετε να συνεχιστούν οι επιθέσεις στην εφοδιαστική αλυσίδα λογισμικού, σύμφωνα με τον Kadouri. «Πιστεύω ότι η εξέλιξη των επιθέσεων της εφοδιαστικής αλυσίδας θα αυξηθεί στους αγωγούς κατασκευής και στα μοντέλα τεχνητής νοημοσύνης και μεγάλων γλωσσών».
Πρόσφατα, τα αποθετήρια μοντέλων μηχανικής μάθησης, όπως το Hugging Face, έχουν προσφέρει ευκαιρίες στους παράγοντες απειλών να εισάγετε κακόβουλο κώδικα σε περιβάλλοντα ανάπτυξης, παρόμοια με τα αποθετήρια ανοιχτού κώδικα npm και PyPI.
Άλλα ζητήματα ασφάλειας της αλυσίδας εφοδιασμού λογισμικού έχουν προκύψει πρόσφατα, τα οποία επηρεάζουν τις εκδόσεις cloud του JetBrains Πλατφόρμα ανάπτυξης λογισμικού TeamCity διευθυντής καθώς και κακόβουλες ενημερώσεις κώδικα γλίστρησε σε εκατοντάδες αποθετήρια GitHub τον Σεπτέμβριο.
Και οι αδύναμοι έλεγχοι ταυτότητας και πρόσβασης επέτρεψαν στους Ιρανούς χακτιβιστές να πραγματοποιήσουν α επίθεση αλυσίδας εφοδιασμού νωρίτερα αυτόν τον μήνα σε ισραηλινά πανεπιστήμια μέσω ενός παρόχου τεχνολογίας.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/application-security/github-developers-hit-in-complex-supply-chain-cyberattack
