GitHub開発者が複雑なサプライチェーンサイバー攻撃に見舞われる

正体不明の攻撃者グループが、悪意のあるコードをコードエコシステムに注入するために、Top.gg GitHub 組織のメンバーおよび個人の開発者に対する高度なサプライチェーンサイバー攻撃を組織しました。

攻撃者は信頼できるソフトウェア開発要素に侵入し、開発者を侵害しました。彼らは、盗んだ Cookie で GitHub アカウントをハイジャックし、検証済みのコミットを通じて悪意のあるコードを提供し、偽の Python ミラーを確立し、汚染されたパッケージを PyPi レジストリにリリースしました。

「複数の TTP は、攻撃者が高度な攻撃を作成し、検出を回避し、悪用が成功する可能性を高め、防御活動を複雑にするのに役立ちます」と Checkmarx のソフトウェアサプライチェーンセキュリティ責任者である Jossef Harash Kadouri 氏は述べています。

Checkmarx の研究者によるブログ投稿によると、攻撃者はユーザーを欺くために、公式ドメインに似た偽の Python ミラードメインを使用した説得力のあるタイポスクワッティング手法を利用しました。

攻撃者は、テキストの書式設定プロセスを簡素化するために 150 億 XNUMX 万人以上のユーザーが使用している Colorama のような人気のある Python パッケージを改ざんすることで、一見正当なソフトウェア内に悪意のあるコードを隠蔽し、GitHub リポジトリを超えて攻撃範囲を拡大しました。

また、評判の高い GitHub Top.gg アカウントを悪用して、悪意のあるコミットを挿入し、その行為の信頼性を高めました。 Top.gg は 170,000 人のメンバーで構成されています。

データ盗難

攻撃の最終段階では、脅威グループが使用するマルウェアが被害者から機密情報を盗みます。 Opera、Chrome、Edge などの Web ブラウザを含む一般的なユーザープラットフォームをターゲットにし、Cookie、自動入力データ、資格情報をターゲットにすることができます。このマルウェアはまた、Discord アカウントを根絶し、復号化されたトークンを悪用して、プラットフォーム上の被害者アカウントに不正アクセスします。

このマルウェアは、被害者の暗号通貨ウォレット、Telegram セッションデータ、Instagram プロフィール情報を盗む可能性があります。後者のシナリオでは、攻撃者は被害者のセッショントークンを使用してアカウントの詳細を取得し、キーロガーを使用してキーストロークをキャプチャし、パスワードや個人メッセージを侵害する可能性があります。

これらの個々の攻撃によって盗まれたデータは、匿名ファイル共有サービスや HTTP リクエストなどのさまざまな手法を使用して攻撃者のサーバーに流出します。攻撃者は一意の識別子を利用して各被害者を追跡します。

攻撃者は検出を回避するために、空白文字の操作や誤解を招く変数名などの複雑な難読化手法をコードに導入しました。彼らは永続化メカニズムを確立し、システムレジストリを変更し、さまざまなソフトウェアアプリケーションにわたってデータ窃取操作を実行しました。

Checkmarx によると、これらの高度な戦術にも関わらず、警戒心の強い Top.gg コミュニティメンバーの一部が悪意のある活動に気づき、報告したため、Cloudflare が悪用されたドメインが削除されることになりました。それでも、Checkmarx の Kadouri 氏は、依然としてこの脅威が「活発」であると考えています。

開発者を保護する方法

IT セキュリティの専門家は、新しいコードプロジェクトの貢献を定期的に監視および監査し、サプライチェーン攻撃のリスクに関する開発者への教育と認識に重点を置く必要があります。

「私たちは競争を脇に置き、オープンソースエコシステムを攻撃者から安全にするために協力することが大切だと信じています」と Kadouri 氏は言います。「リソースの共有は、ソフトウェアサプライチェーンの脅威アクターに対して優位に立つために非常に重要です。」

カドゥーリ氏によると、ソフトウェアのサプライチェーン攻撃は今後も続くと予想されるという。「サプライチェーン攻撃の進化は、ビルドパイプライン、AI、大規模な言語モデルにおいてさらに増加すると考えています。」

最近、Hugging Face などの機械学習モデルリポジトリは、攻撃者に次の機会を提供しています。開発環境に悪意のあるコードを挿入する、オープンソースリポジトリのnpmやPyPIに似ています。

最近、他のソフトウェアサプライチェーンのセキュリティ問題が発生し、JetBrains のクラウドバージョンに影響を与えています。 TeamCity ソフトウェア開発プラットフォームマネージャーも同様に悪意のあるコードの更新 9月に何百ものGitHubリポジトリに侵入した。

そして、弱い認証とアクセス制御により、イランのハクティビストによる攻撃が可能になりました。サプライチェーン攻撃今月初め、テクノロジープロバイダーを通じてイスラエルの大学に情報を提供した。

SEO を活用したコンテンツと PR 配信。今日増幅されます。
PlatoData.Network 垂直生成 Ai。自分自身に力を与えましょう。こちらからアクセスしてください。
プラトアイストリーム。 Web3 インテリジェンス。知識増幅。こちらからアクセスしてください。
プラトンESG。カーボン、クリーンテック、エネルギー、環境、太陽、廃棄物管理。こちらからアクセスしてください。
プラトンヘルス。バイオテクノロジーと臨床試験のインテリジェンス。こちらからアクセスしてください。
情報源： https://www.darkreading.com/application-security/github-developers-hit-in-complex-supply-chain-cyberattack

生成的データインテリジェンス

GitHub開発者が複雑なサプライチェーンのサイバー攻撃に見舞われる

データ盗難

開発者を保護する方法

BDAG が 5 年の有望な仮想通貨プリセールのトップ 2024 をリード

暗号通貨を購入する前に市場センチメントを評価する方法

最新のインテリジェンス

SOLネットワーク問題とDOT価格予測の中でのBlockDAGの100億ドルの流動性と権利確定期間

Rainbet とクリプトカジノ: パックのリーダー

ビットコインの大惨事：仮想通貨アナリストが8％の価格下落で「デスクロス」を指摘

AIEMP、革新的な AI セキュリティプロジェクトの立ち上げを発表

SECに対するバイナンスの弁護はマンゴー・マーケット事件によって支援される可能性がある

英国の法執行機関、犯罪者に関連するデジタル資産を押収、破壊する新たな権限を付与