Sekelompok pelaku ancaman tak dikenal mengatur serangan siber rantai pasokan yang canggih terhadap anggota organisasi Top.gg GitHub serta pengembang individu untuk memasukkan kode berbahaya ke dalam ekosistem kode.
Para penyerang menyusup ke elemen pengembangan perangkat lunak tepercaya untuk menyusup ke pengembang. Mereka membajak akun GitHub dengan cookie curian, menyumbangkan kode berbahaya melalui komitmen terverifikasi, membuat mirror Python palsu, dan merilis paket tercemar di registri PyPi.
“Beberapa TTP membantu penyerang menciptakan serangan yang canggih, menghindari deteksi, meningkatkan peluang keberhasilan eksploitasi, dan mempersulit upaya pertahanan,” kata Jossef Harush Kadouri, kepala keamanan rantai pasokan perangkat lunak di Checkmarx.
Para penyerang menggunakan teknik kesalahan ketik yang meyakinkan dengan domain cermin Python palsu yang menyerupai domain resmi untuk menipu pengguna, menurut sebuah posting blog oleh peneliti Checkmarx.
Dengan merusak paket Python populer seperti Colorama – yang digunakan oleh lebih dari 150 juta pengguna untuk menyederhanakan proses pemformatan teks – para penyerang menyembunyikan kode berbahaya di dalam perangkat lunak yang tampaknya sah, sehingga memperluas jangkauan mereka di luar repositori GitHub.
Mereka juga mengeksploitasi akun GitHub Top.gg bereputasi tinggi untuk memasukkan komitmen jahat dan meningkatkan kredibilitas tindakan mereka. Top.gg terdiri dari 170,000 anggota.
Pencurian Data
Pada tahap akhir serangan, malware yang digunakan oleh kelompok ancaman mencuri informasi sensitif dari korban. Ini dapat menargetkan platform pengguna populer termasuk browser Web seperti Opera, Chrome, dan Edge — menargetkan cookie, data isi otomatis, dan kredensial. Malware ini juga membasmi akun Discord dan menyalahgunakan token yang didekripsi untuk mendapatkan akses tidak sah ke akun korban di platform.
Malware ini dapat mencuri dompet mata uang kripto korban, data sesi Telegram, dan informasi profil Instagram. Dalam skenario terakhir, penyerang menggunakan token sesi korban untuk mengambil rincian akun mereka, menggunakan keylogger untuk menangkap penekanan tombol, yang berpotensi membahayakan kata sandi dan pesan pribadi.
Data yang dicuri dari serangan individu ini kemudian dieksfiltrasi ke server penyerang menggunakan berbagai teknik, termasuk layanan berbagi file anonim dan permintaan HTTP. Para penyerang menggunakan pengidentifikasi unik untuk melacak setiap korban.
Untuk menghindari deteksi, penyerang menggunakan teknik kebingungan yang rumit dalam kode mereka, termasuk manipulasi spasi dan nama variabel yang menyesatkan. Mereka membentuk mekanisme persistensi, memodifikasi registrasi sistem, dan melakukan operasi pencurian data di berbagai aplikasi perangkat lunak.
Terlepas dari taktik canggih ini, beberapa anggota komunitas Top.gg yang waspada memperhatikan aktivitas jahat tersebut dan melaporkannya, yang menyebabkan Cloudflare menghapus domain yang disalahgunakan, menurut Checkmarx. Meski begitu, Kadouri dari Checkmarx masih menganggap ancaman tersebut “aktif.”
Bagaimana Melindungi Pengembang
Profesional keamanan TI harus secara teratur memantau dan mengaudit kontribusi proyek kode baru dan fokus pada pendidikan dan kesadaran bagi pengembang mengenai risiko serangan rantai pasokan.
“Kami percaya untuk mengesampingkan persaingan dan bekerja sama untuk membuat ekosistem open source aman dari penyerang,” kata Kadouri. “Berbagi sumber daya sangat penting untuk mendapatkan keunggulan dibandingkan pelaku ancaman rantai pasokan perangkat lunak.”
Diperkirakan serangan rantai pasokan perangkat lunak akan terus berlanjut, menurut Kadouri. “Saya yakin evolusi serangan rantai pasokan akan meningkat dalam pembangunan jaringan pipa dan AI serta model bahasa yang besar.”
Baru-baru ini, repositori model pembelajaran mesin seperti Hugging Face telah menawarkan peluang bagi pelaku ancaman untuk melakukan hal tersebut menyuntikkan kode berbahaya ke dalam lingkungan pengembangan, mirip dengan repositori sumber terbuka npm dan PyPI.
Masalah keamanan rantai pasokan perangkat lunak lainnya telah muncul baru-baru ini, yang memengaruhi JetBrains versi cloud Platform pengembangan perangkat lunak TeamCity manajer serta pembaruan kode berbahaya menyelinap ke ratusan repositori GitHub pada bulan September.
Dan lemahnya otentikasi dan kontrol akses memungkinkan para peretas Iran melakukan tindakan a serangan rantai pasokan awal bulan ini di universitas-universitas Israel melalui penyedia teknologi.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/application-security/github-developers-hit-in-complex-supply-chain-cyberattack
