קבוצה לא מזוהה של גורמי איומים תיזמרה מתקפת סייבר מתוחכמת של שרשרת האספקה ​​על חברי ארגון Top.gg GitHub וכן על מפתחים בודדים על מנת להחדיר קוד זדוני לאקוסיסטם הקוד.

התוקפים חדרו לרכיבי פיתוח תוכנה מהימנים כדי לסכן מפתחים. הם חטפו חשבונות GitHub עם קובצי Cookie גנובים, תרמו קוד זדוני באמצעות התחייבויות מאומתות, הקימו מראה Python מזויפת, ושחררו חבילות מזוהמות ברישום PyPi.

"מספר TTPs עוזר לתוקפים ליצור התקפות מתוחכמות, להתחמק מזיהוי, להגדיל את הסיכויים לניצול מוצלח ולסבך את מאמצי ההגנה", אומר יוסף הרוש כדורי, ראש אבטחת שרשרת אספקת התוכנה ב-Checkmarx.

התוקפים השתמשו בטכניקת הקלדה משכנעת עם תחום מראה Python מזויף הדומה לזה הרשמי כדי להונות משתמשים, לפי פוסט בבלוג של חוקרי צ'קמארקס.

על ידי התעסקות בחבילות Python פופולריות כמו Colorama - המשמשת יותר מ-150 מיליון משתמשים כדי לפשט את תהליך עיצוב הטקסט - הסתירו התוקפים קוד זדוני בתוכנה לגיטימית לכאורה, והרחיבו את טווח ההגעה שלהם אל מעבר למאגרי GitHub.

הם גם ניצלו חשבונות GitHub Top.gg בעלי מוניטין גבוה כדי להוסיף התחייבויות זדוניות ולהגביר את האמינות של פעולותיהם. Top.gg מורכב מ-170,000 חברים.

גניבת נתונים

בשלב האחרון של המתקפה, התוכנה הזדונית שבה משתמשת קבוצת האיומים גונבת מידע רגיש מהקורבן. זה יכול למקד לפלטפורמות משתמש פופולריות כולל דפדפני אינטרנט כמו Opera, Chrome ו-Edge - מיקוד לעוגיות, נתוני מילוי אוטומטי ואישורים. התוכנה הזדונית גם משרשת את חשבונות Discord וניצלה לרעה אסימונים מפוענחים כדי לקבל גישה לא מורשית לחשבונות הקורבן בפלטפורמה.

התוכנה הזדונית יכולה לגנוב את ארנקי המטבעות הקריפטו של הקורבן, נתוני הפעלות של טלגרם ומידע על פרופיל אינסטגרם. בתרחיש האחרון, התוקף משתמש באסימוני הפגישה של הקורבן כדי לאחזר את פרטי החשבון שלו, תוך שימוש ב-keylogger כדי ללכוד הקשות, מה שעלול לסכן סיסמאות והודעות אישיות.

הנתונים הגנובים מהתקפות בודדות אלו עוברים לאחר מכן לשרת התוקף באמצעות טכניקות שונות, כולל שירותי שיתוף קבצים אנונימיים ובקשות HTTP. התוקפים משתמשים במזהים ייחודיים כדי לעקוב אחר כל קורבן.

כדי להתחמק מזיהוי, התוקפים השתמשו בטכניקות ערפול מורכבות בקוד שלהם, כולל מניפולציה של רווחים לבנים ושמות משתנים מטעים. הם הקימו מנגנוני התמדה, שינו רישום מערכות וביצעו פעולות גניבת נתונים על פני יישומי תוכנה שונים.

למרות הטקטיקות המתוחכמות הללו, כמה מחברי קהילת Top.gg ערניים הבחינו בפעילויות הזדוניות ודיווחו על כך, מה שהוביל לכך ש-Cloudflare הורידה את הדומיינים שעברו שימוש לרעה, לפי Checkmarx. למרות זאת, כדורי של צ'קמארקס עדיין מתייחס לאיום כ"פעיל".

כיצד להגן על מפתחים

מומחי אבטחת IT צריכים לפקח ולבקר באופן קבוע תרומות חדשות לפרויקטים של קוד ולהתמקד בחינוך ובמודעות למפתחים לסיכונים של התקפות שרשרת האספקה.

"אנחנו מאמינים לשים את התחרות בצד ולעבוד יחד כדי להפוך את המערכות האקולוגיות בקוד פתוח לבטוחות מפני תוקפים", אומר כדורי. "שיתוף משאבים הוא חיוני כדי לקבל יתרון על פני גורמי איומי שרשרת אספקת התוכנה."

צפו שהתקפות שרשרת אספקת התוכנה יימשכו, לפי כדורי. "אני מאמין שההתפתחות של התקפות שרשרת האספקה ​​הולכת לגדול בבניית צינורות ובינה מלאכותית ומודלים של שפות גדולות."

לאחרונה, מאגרי מודלים של לימוד מכונה כגון Hugging Face הציעו לשחקני איום הזדמנויות להחדיר קוד זדוני לסביבות פיתוח, בדומה למאגרי קוד פתוח npm ו- PyPI.

בעיות אבטחה אחרות של שרשרת אספקת התוכנה התעוררו לאחרונה, והשפיעו על גרסאות הענן של JetBrains פלטפורמת פיתוח תוכנה TeamCity גם מנהל עדכוני קוד זדוני החליק לתוך מאות מאגרי GitHub בספטמבר.

ואימות חלש ובקרות גישה אפשרו להאקטיביסטים איראנים לבצע א התקפת שרשרת האספקה מוקדם יותר החודש באוניברסיטאות בישראל באמצעות ספק טכנולוגיה.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/application-security/github-developers-hit-in-complex-supply-chain-cyberattack