확인되지 않은 위협 행위자 그룹이 코드 생태계에 악성 코드를 주입하기 위해 Top.gg GitHub 조직 구성원과 개별 개발자를 대상으로 정교한 공급망 사이버 공격을 조율했습니다.

공격자는 개발자를 손상시키기 위해 신뢰할 수 있는 소프트웨어 개발 요소에 침투했습니다. 그들은 훔친 쿠키로 GitHub 계정을 하이재킹하고, 검증된 커밋을 통해 악성 코드를 제공하고, 위조 Python 미러를 구축하고, PyPi 레지스트리에 오염된 패키지를 공개했습니다.

Checkmarx의 소프트웨어 공급망 보안 책임자인 Jossef Harush Kadouri는 "다중 TTP는 공격자가 정교한 공격을 만들고, 탐지를 회피하고, 악용 성공 가능성을 높이고, 방어 노력을 복잡하게 만드는 데 도움이 됩니다."라고 말합니다.

Checkmarx 연구원의 블로그 게시물에 따르면, 공격자는 사용자를 속이기 위해 공식 도메인과 유사한 가짜 Python 미러 도메인을 사용하여 설득력 있는 타이포스쿼팅 기술을 활용했습니다.

공격자는 텍스트 서식 지정 프로세스를 단순화하기 위해 150억 XNUMX천만 명 이상의 사용자가 사용하는 Colorama와 같은 인기 있는 Python 패키지를 변조함으로써 합법적인 것처럼 보이는 소프트웨어 내에 악성 코드를 숨겨 GitHub 리포지토리를 넘어 범위를 확장했습니다.

그들은 또한 평판이 좋은 GitHub Top.gg 계정을 활용하여 악의적인 커밋을 삽입하고 그들의 행동에 대한 신뢰성을 높였습니다. Top.gg는 170,000만명의 회원으로 구성되어 있습니다.

데이터 절도

공격의 마지막 단계에서 위협 그룹이 사용하는 악성코드는 피해자의 민감한 정보를 훔칩니다. Opera, Chrome, Edge와 같은 웹 브라우저를 포함하여 널리 사용되는 사용자 플랫폼을 대상으로 쿠키, 자동 완성 데이터 및 자격 증명을 대상으로 할 수 있습니다. 또한 이 악성코드는 Discord 계정을 근절하고 해독된 토큰을 남용하여 플랫폼의 피해자 계정에 무단으로 액세스합니다.

이 악성코드는 피해자의 암호화폐 지갑, 텔레그램 세션 데이터, 인스타그램 프로필 정보를 훔칠 수 있습니다. 후자의 시나리오에서 공격자는 피해자의 세션 토큰을 사용하여 계정 세부 정보를 검색하고 키로거를 사용하여 키 입력을 캡처하여 잠재적으로 비밀번호와 개인 메시지를 손상시킬 수 있습니다.

이러한 개별 공격에서 훔친 데이터는 익명 파일 공유 서비스 및 HTTP 요청을 포함한 다양한 기술을 사용하여 공격자의 서버로 유출됩니다. 공격자는 고유 식별자를 활용하여 각 피해자를 추적합니다.

탐지를 회피하기 위해 공격자는 코드에 공백 조작, 오해의 소지가 있는 변수 이름 등 복잡한 난독화 기술을 사용했습니다. 그들은 지속성 메커니즘을 구축하고, 시스템 레지스트리를 수정했으며, 다양한 소프트웨어 애플리케이션에서 데이터 도용 작업을 실행했습니다.

이러한 정교한 전술에도 불구하고 일부 Top.gg 커뮤니티 회원은 악의적인 활동을 발견하고 이를 신고했으며, 이로 인해 Cloudflare가 남용된 도메인을 중단했다고 Checkmarx가 밝혔습니다. 그럼에도 불구하고 Checkmarx의 Kadouri는 여전히 해당 위협을 "활성" 위협으로 간주합니다.

개발자를 보호하는 방법

IT 보안 전문가는 정기적으로 새로운 코드 프로젝트 기여를 모니터링 및 감사해야 하며 공급망 공격의 위험에 대해 개발자를 위한 교육 및 인식에 중점을 두어야 합니다.

Kadouri는 "우리는 경쟁을 제쳐두고 오픈 소스 생태계를 공격자로부터 안전하게 만들기 위해 협력해야 한다고 믿습니다."라고 말합니다. "소프트웨어 공급망 위협 행위자보다 우위를 점하려면 리소스를 공유하는 것이 중요합니다."

Kadouri에 따르면 소프트웨어 공급망 공격은 계속될 것으로 예상됩니다. “빌드 파이프라인과 AI, 대규모 언어 모델에서 공급망 공격이 더욱 진화할 것이라고 믿습니다.”

최근 Hugging Face와 같은 머신러닝 모델 저장소는 위협 행위자에게 다음과 같은 기회를 제공했습니다. 개발 환경에 악성 코드 삽입, 오픈 소스 저장소 npm 및 PyPI와 유사합니다.

최근 JetBrains의 클라우드 버전에 영향을 미치는 기타 소프트웨어 공급망 보안 문제가 발생했습니다. TeamCity 소프트웨어 개발 플랫폼 매니저도 그렇고 악성코드 업데이트 9월에 수백 개의 GitHub 저장소에 들어갔습니다.

그리고 취약한 인증 및 액세스 제어를 통해 이란의 핵티비스트는 공급망 공격 이달 초 기술 제공업체를 통해 이스라엘 대학에 대한 정보를 제공했습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/application-security/github-developers-hit-in-complex-supply-chain-cyberattack