GitHub-kehittäjät joutuivat monimutkaiseen toimitusketjuun kyberhyökkäykseen

Tuntematon ryhmä uhkatoimijoita järjesti kehittyneen toimitusketjun kyberhyökkäyksen Top.gg GitHub -organisaation jäseniä sekä yksittäisiä kehittäjiä vastaan ruiskuttaakseen haitallista koodia koodiekosysteemiin.

Hyökkääjät soluttautuivat luotettaviin ohjelmistokehityselementteihin vaarantaakseen kehittäjät. He kaappasivat GitHub-tilejä varastetuilla evästeillä, lisäsivät haitallista koodia vahvistettujen sitoumusten kautta, perustivat väärennetyn Python-peilin ja julkaisivat pilaantuneita paketteja PyPi-rekisterissä.

"Useat TTP:t auttavat hyökkääjiä luomaan kehittyneitä hyökkäyksiä, välttämään havaitsemisen, lisäävät onnistuneen hyväksikäytön mahdollisuuksia ja vaikeuttavat puolustustoimia", sanoo Jossef Harush Kadouri, Checkmarxin ohjelmistojen toimitusketjun turvallisuudesta vastaava johtaja.

Checkmarxin tutkijoiden blogikirjoituksen mukaan hyökkääjät käyttivät vakuuttavaa kirjoitusvirhetekniikkaa virallista Python-peiliverkkotunnusta muistuttavalla väärennyksellä käyttäjien huijaamiseen.

Peukaloitumalla suosittuihin Python-paketteihin, kuten Coloramaan – jota yli 150 miljoonaa käyttäjää käyttää tekstin muotoilun yksinkertaistamiseksi – hyökkääjät piilottivat haitallista koodia näennäisesti laillisen ohjelmiston sisään, mikä laajensi ulottuvuuttaan GitHub-tietovarastojen ulkopuolelle.

He myös käyttivät hyväkseen hyvämaineisia GitHub Top.gg -tilejä lisätäkseen haitallisia sitoumuksia ja lisätäkseen toimintansa uskottavuutta. Top.gg koostuu 170,000 XNUMX jäsenestä.

Datavarkaus

Hyökkäyksen loppuvaiheessa uhkaryhmän käyttämä haittaohjelma varastaa uhrilta arkaluonteisia tietoja. Se voi kohdistaa suosittuihin käyttöalustoihin, kuten verkkoselaimiin, kuten Operaan, Chromeen ja Edgeen. Kohdistamalla evästeet, automaattisen täytön tiedot ja tunnistetiedot. Haittaohjelma myös kitkee Discord-tilit ja käytti väärin salattuja tunnuksia saadakseen luvattoman pääsyn alustalla oleville uhritileille.

Haittaohjelma voi varastaa uhrin kryptovaluuttalompakot, Telegram-istuntotiedot ja Instagram-profiilitiedot. Jälkimmäisessä skenaariossa hyökkääjä käyttää uhrin istuntotunnuksia hänen tilitietojensa noutamiseen ja käyttää näppäinloggeria näppäinpainallusten tallentamiseen, mikä saattaa vaarantaa salasanat ja henkilökohtaiset viestit.

Näistä yksittäisistä hyökkäyksistä varastetut tiedot suodatetaan sitten hyökkääjän palvelimelle eri tekniikoilla, mukaan lukien nimettömät tiedostonjakopalvelut ja HTTP-pyynnöt. Hyökkääjät käyttävät yksilöllisiä tunnisteita jokaisen uhrin jäljittämiseen.

Välttääkseen havaitsemisen hyökkääjät käyttivät koodissaan monimutkaisia hämärtymistekniikoita, kuten välilyöntejä ja harhaanjohtavia muuttujien nimiä. He perustivat pysyvyysmekanismeja, muuttivat järjestelmärekistereitä ja suorittivat tietojen varastamista eri ohjelmistosovelluksissa.

Näistä hienostuneista taktiikoista huolimatta jotkut valppaat Top.gg-yhteisön jäsenet huomasivat haitalliset toimet ja ilmoittivat siitä, mikä johti Cloudflaren poistamiseen väärinkäytetyt verkkotunnukset Checkmarxin mukaan. Siitä huolimatta Checkmarxin Kadouri pitää uhkaa edelleen "aktiivisena".

Kuinka suojata kehittäjiä

IT-tietoturva-ammattilaisten tulee säännöllisesti seurata ja auditoida uusia koodiprojekteja ja keskittyä kehittäjien koulutukseen ja tietoisuuteen toimitusketjuhyökkäysten riskeistä.

"Uskomme jättämään kilpailun sivuun ja työskentelemään yhdessä, jotta avoimen lähdekoodin ekosysteemit suojataan hyökkääjiltä", Kadouri sanoo. "Resurssien jakaminen on ratkaisevan tärkeää, jotta voit saada etulyöntiaseman ohjelmistojen toimitusketjun uhkien toimijoihin nähden."

Kadourin mukaan ohjelmistojen toimitusketjuhyökkäysten odotetaan jatkuvan. "Uskon, että toimitusketjuhyökkäysten kehitys tulee lisääntymään rakennusputkien ja tekoälyn sekä suurten kielimallien osalta."

Viime aikoina koneoppimismallivarastot, kuten Hugging Face, ovat tarjonneet uhkatoimijoille mahdollisuuksia syöttää haitallista koodia kehitysympäristöihin, joka muistuttaa avoimen lähdekoodin arkistot npm ja PyPI.

Muita ohjelmistojen toimitusketjun tietoturvaongelmia on ilmaantunut viime aikoina, jotka vaikuttavat JetBrainsin pilviversioihin TeamCity ohjelmistokehitysalusta johtaja samoin haitallisten koodien päivitykset liukastui satoihin GitHub-tietovarastoihin syyskuussa.

Ja heikko todennus ja pääsyn valvonta mahdollistivat iranilaisten hacktivistien a toimitusketjun hyökkäys aiemmin tässä kuussa Israelin yliopistoissa teknologiatoimittajan kautta.

SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
Lähde: https://www.darkreading.com/application-security/github-developers-hit-in-complex-supply-chain-cyberattack

Generatiivinen tiedustelu

GitHub-kehittäjät joutuivat monimutkaisen toimitusketjun kyberhyökkäykseen

Datavarkaus

Kuinka suojata kehittäjiä

Voittojen maksimointi vuonna 2024: Kattava katsaus ValueZone.AI:hen

Ison-Britannian puolustusministeri paljastaa italialaisen Storm Shadow -ohjusten toimituksen Ukrainalle

Uusin älykkyys

Suora lähetys: SpaceX laukaisee 23 Starlink-satelliittia Falcon 9:n lennolla Cape Canaveralista

Kolme avainta Islandersille pelin viisi voittoon

Lakers saa halutun voiton Denveriä vastaan, nyt sarjassa 3-1

Falcon 9 laukaisee Galileo-navigointisatelliitteja

Entisten Saabin insinöörien suunnittelema NEVS Emily GT saatetaan valmistaa Italiassa – Autoblog

Dogecoin- ja Pepecoin-harrastajat kokoontuvat Wahoo Exchange -alustan julkaiseman uuden AI-tunnuksen taakse - CryptoInfoNet