Un gruppo non identificato di autori di minacce ha orchestrato un sofisticato attacco informatico alla catena di fornitura contro i membri dell'organizzazione Top.gg GitHub e singoli sviluppatori al fine di iniettare codice dannoso nell'ecosistema del codice.
Gli aggressori si sono infiltrati in elementi affidabili di sviluppo software per compromettere gli sviluppatori. Hanno violato gli account GitHub con cookie rubati, hanno contribuito con codice dannoso tramite commit verificati, hanno creato un mirror Python contraffatto e hanno rilasciato pacchetti contaminati nel registro PyPi.
"TTP multipli aiutano gli aggressori a creare attacchi sofisticati, eludere il rilevamento, aumentare le possibilità di sfruttamento riuscito e complicare gli sforzi di difesa", afferma Jossef Harush Kadouri, responsabile della sicurezza della catena di fornitura del software presso Checkmarx.
Secondo un post sul blog dei ricercatori di Checkmarx, gli aggressori hanno utilizzato una convincente tecnica di typosquatting con un falso dominio mirror Python simile a quello ufficiale per ingannare gli utenti.
Manomettendo i popolari pacchetti Python come Colorama, utilizzato da oltre 150 milioni di utenti per semplificare il processo di formattazione del testo, gli aggressori hanno nascosto codice dannoso all'interno di software apparentemente legittimo, espandendo la loro portata oltre i repository GitHub.
Hanno anche sfruttato account GitHub Top.gg di alta reputazione per inserire commit dannosi e aumentare la credibilità delle loro azioni. Top.gg è composto da 170,000 membri.
Furto di dati
Nella fase finale dell'attacco, il malware utilizzato dal gruppo di minaccia ruba informazioni sensibili alla vittima. Può prendere di mira le piattaforme utente più diffuse, inclusi browser Web come Opera, Chrome ed Edge, prendendo di mira cookie, dati di compilazione automatica e credenziali. Il malware sradica anche gli account Discord e abusa dei token decrittografati per ottenere l'accesso non autorizzato agli account delle vittime sulla piattaforma.
Il malware può rubare i portafogli di criptovaluta della vittima, i dati della sessione di Telegram e le informazioni del profilo Instagram. In quest'ultimo scenario, l'aggressore utilizza i token di sessione della vittima per recuperare i dettagli del proprio account, impiegando un keylogger per catturare le sequenze di tasti, compromettendo potenzialmente password e messaggi personali.
I dati rubati da questi singoli attacchi vengono quindi esfiltrati sul server dell'aggressore utilizzando varie tecniche, inclusi servizi di condivisione di file anonimi e richieste HTTP. Gli aggressori utilizzano identificatori univoci per tracciare ogni vittima.
Per eludere il rilevamento, gli aggressori hanno utilizzato complesse tecniche di offuscamento nel loro codice, inclusa la manipolazione degli spazi bianchi e nomi di variabili fuorvianti. Hanno stabilito meccanismi di persistenza, modificato registri di sistema ed eseguito operazioni di furto di dati su varie applicazioni software.
Nonostante queste tattiche sofisticate, alcuni membri vigili della comunità Top.gg hanno notato le attività dannose e le hanno segnalate, il che ha portato Cloudflare a rimuovere i domini abusati, secondo Checkmarx. Anche così, Kadouri di Checkmarx considera ancora la minaccia “attiva”.
Come proteggere gli sviluppatori
I professionisti della sicurezza IT dovrebbero monitorare e verificare regolarmente i contributi ai nuovi progetti di codice e concentrarsi sulla formazione e sulla consapevolezza degli sviluppatori sui rischi degli attacchi alla catena di fornitura.
"Crediamo nel mettere da parte la concorrenza e nel lavorare insieme per rendere gli ecosistemi open source sicuri dagli aggressori", afferma Kadouri. “La condivisione delle risorse è fondamentale per avere un vantaggio sugli attori che minacciano la catena di fornitura del software”.
Secondo Kadouri gli attacchi alla catena di fornitura del software continueranno. “Credo che l’evoluzione degli attacchi alla supply chain aumenterà nelle pipeline di costruzione, nell’intelligenza artificiale e nei modelli linguistici di grandi dimensioni”.
Recentemente, repository di modelli di machine learning come Hugging Face hanno offerto opportunità agli autori delle minacce iniettare codice dannoso negli ambienti di sviluppo, simile ai repository open source npm e PyPI.
Recentemente sono emersi altri problemi di sicurezza della catena di fornitura del software, che interessano le versioni cloud di JetBrains Piattaforma di sviluppo software TeamCity manager nonché aggiornamenti di codici dannosi è scivolato in centinaia di repository GitHub a settembre.
Inoltre, la debolezza dei controlli di autenticazione e di accesso ha permesso agli hacktivisti iraniani di condurre un'operazione attacco alla catena di approvvigionamento all’inizio di questo mese sulle università israeliane tramite un fornitore di tecnologia.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/application-security/github-developers-hit-in-complex-supply-chain-cyberattack
