یک گروه ناشناس از عوامل تهدید، یک حمله سایبری زنجیره تامین پیچیده را به اعضای سازمان Top.gg GitHub و همچنین توسعه دهندگان فردی ترتیب دادند تا کد مخرب را به اکوسیستم کد تزریق کنند.
مهاجمان به عناصر توسعه نرم افزار قابل اعتماد نفوذ کردند تا توسعه دهندگان را به خطر بیندازند. آنها حسابهای GitHub را با کوکیهای دزدیده شده ربودند، کدهای مخرب را از طریق commitهای تایید شده ارسال کردند، یک آینه پایتون تقلبی ایجاد کردند و بستههای آلوده را در رجیستری PyPi منتشر کردند.
جوزف هاروش کدوری، رئیس امنیت زنجیره تامین نرمافزار در Checkmarx میگوید: «چندین TTP به مهاجمان کمک میکند تا حملات پیچیدهای ایجاد کنند، از شناسایی فرار کنند، شانس بهرهبرداری موفق را افزایش دهند و تلاشهای دفاعی را پیچیده کنند.
بر اساس یک پست وبلاگی توسط محققان Checkmarx، مهاجمان از یک تکنیک typosquatting قانع کننده با دامنه آینه پایتون جعلی شبیه دامنه رسمی برای فریب کاربران استفاده کردند.
مهاجمان با دستکاری بستههای محبوب پایتون مانند Colorama - که بیش از 150 میلیون کاربر برای سادهسازی فرآیند قالببندی متن از آن استفاده میکنند، کدهای مخرب را در نرمافزار به ظاهر قانونی پنهان کردند و دامنه دسترسی خود را فراتر از مخازن GitHub گسترش دادند.
آنها همچنین از حساب های GitHub Top.gg با شهرت بالا برای درج تعهدات مخرب و افزایش اعتبار اقدامات خود سوء استفاده کردند. Top.gg از 170,000 عضو تشکیل شده است.
سرقت اطلاعات
در مرحله آخر حمله، بدافزار مورد استفاده گروه تهدید، اطلاعات حساس قربانی را می دزدد. میتواند پلتفرمهای کاربر محبوب از جمله مرورگرهای وب مانند Opera، Chrome و Edge را هدف قرار دهد - کوکیها، دادههای تکمیل خودکار و اعتبارنامهها را هدف قرار میدهد. این بدافزار همچنین حسابهای Discord را ریشهیابی میکند و از توکنهای رمزگشایی شده برای دسترسی غیرمجاز به حسابهای قربانی در پلتفرم سوء استفاده میکند.
این بدافزار میتواند کیف پولهای ارز دیجیتال قربانی، دادههای جلسه تلگرام و اطلاعات پروفایل اینستاگرام قربانی را بدزدد. در سناریوی دوم، مهاجم از نشانههای جلسه قربانی برای بازیابی جزئیات حساب خود استفاده میکند و از یک keylogger برای گرفتن کلیدها استفاده میکند که به طور بالقوه رمز عبور و پیامهای شخصی را به خطر میاندازد.
سپس دادههای دزدیده شده از این حملات فردی با استفاده از تکنیکهای مختلف، از جمله سرویسهای اشتراکگذاری فایل ناشناس و درخواستهای HTTP، به سرور مهاجم منتقل میشوند. مهاجمان از شناسه های منحصر به فرد برای ردیابی هر قربانی استفاده می کنند.
برای فرار از تشخیص، مهاجمان از تکنیک های مبهم سازی پیچیده در کد خود استفاده کردند، از جمله دستکاری فضای خالی و نام های گمراه کننده متغیرها. آنها مکانیسمهای پایداری را ایجاد کردند، رجیستری سیستم را اصلاح کردند و عملیات سرقت دادهها را در برنامههای مختلف نرمافزاری اجرا کردند.
به گفته چکمارکس، علیرغم این تاکتیکهای پیچیده، برخی از اعضای جامعه Top.gg متوجه فعالیتهای مخرب شده و آن را گزارش کردند، که منجر به حذف دامنههای مورد سوء استفاده Cloudflare شد. با این حال، کدوری چکمارکس همچنان تهدید را «فعال» میداند.
چگونه از توسعه دهندگان محافظت کنیم
متخصصان امنیت فناوری اطلاعات باید به طور منظم مشارکت های پروژه کد جدید را نظارت و بازرسی کنند و بر آموزش و آگاهی توسعه دهندگان در مورد خطرات حملات زنجیره تامین تمرکز کنند.
کدوری میگوید: «ما معتقدیم که رقابت را کنار بگذاریم و با هم کار کنیم تا اکوسیستمهای منبع باز را در برابر مهاجمان ایمن کنیم. به اشتراک گذاری منابع برای داشتن برتری نسبت به عوامل تهدید کننده زنجیره تامین نرم افزار بسیار مهم است.
به گفته کدوری، انتظار می رود حملات زنجیره تامین نرم افزار ادامه یابد. من معتقدم که تکامل حملات زنجیره تامین در خطوط لوله ساخت و هوش مصنوعی و مدلهای زبان بزرگ افزایش خواهد یافت.
اخیراً، مخازن مدلهای یادگیری ماشینی مانند Hugging Face فرصتهایی را به عوامل تهدید ارائه کردهاند. کدهای مخرب را به محیط های توسعه تزریق کنید، شبیه به مخازن منبع باز npm و PyPI.
دیگر مسائل امنیتی زنجیره تامین نرم افزار اخیراً به وجود آمده است که بر نسخه های ابری JetBrains تأثیر گذاشته است پلت فرم توسعه نرم افزار TeamCity مدیر و همچنین به روز رسانی کدهای مخرب در ماه سپتامبر وارد صدها مخزن GitHub شد.
و ضعف احراز هویت و کنترلهای دسترسی به هکریستهای ایرانی این امکان را میدهد تا یک اقدام را انجام دهند حمله زنجیره تامین اوایل این ماه در دانشگاه های اسرائیل از طریق یک ارائه دهنده فناوری.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/application-security/github-developers-hit-in-complex-supply-chain-cyberattack