Een niet-geïdentificeerde groep bedreigingsactoren orkestreerde een geavanceerde supply chain-cyberaanval op leden van de Top.gg GitHub-organisatie en op individuele ontwikkelaars om kwaadaardige code in het code-ecosysteem te injecteren.
De aanvallers infiltreerden in vertrouwde softwareontwikkelingselementen om ontwikkelaars in gevaar te brengen. Ze kaapten GitHub-accounts met gestolen cookies, droegen kwaadaardige code bij via geverifieerde commits, creëerden een nagemaakte Python-mirror en brachten besmette pakketten uit in het PyPi-register.
“Meerdere TTP’s helpen aanvallers bij het creëren van geavanceerde aanvallen, het omzeilen van detectie, het vergroten van de kans op succesvolle exploitatie en het compliceren van defensie-inspanningen”, zegt Jossef Harush Kadouri, hoofd software supply chain security bij Checkmarx.
Volgens een blogpost van Checkmarx-onderzoekers gebruikten de aanvallers een overtuigende typosquatting-techniek met een nep-Python-spiegeldomein dat lijkt op het officiële domein om gebruikers te misleiden.
Door te knoeien met populaire Python-pakketten zoals Colorama – dat door meer dan 150 miljoen gebruikers wordt gebruikt om het opmaakproces van tekst te vereenvoudigen – verborgen de aanvallers kwaadaardige code in ogenschijnlijk legitieme software, waardoor hun bereik buiten de GitHub-opslagplaatsen werd uitgebreid.
Ze maakten ook misbruik van GitHub Top.gg-accounts met een hoge reputatie om kwaadaardige commits in te voeren en de geloofwaardigheid van hun acties te vergroten. Top.gg heeft 170,000 leden.
Data diefstal
In de laatste fase van de aanval steelt de door de dreigingsgroep gebruikte malware gevoelige informatie van het slachtoffer. Het kan zich richten op populaire gebruikersplatforms, waaronder webbrowsers zoals Opera, Chrome en Edge, waarbij het zich richt op cookies, gegevens voor automatisch aanvullen en inloggegevens. De malware roeit ook Discord-accounts uit en misbruikt gedecodeerde tokens om ongeautoriseerde toegang te krijgen tot slachtofferaccounts op het platform.
De malware kan de cryptocurrency-portefeuilles van het slachtoffer, Telegram-sessiegegevens en Instagram-profielinformatie stelen. In het laatste scenario gebruikt de aanvaller de sessietokens van het slachtoffer om zijn accountgegevens op te halen, waarbij hij een keylogger gebruikt om toetsaanslagen vast te leggen, waardoor wachtwoorden en persoonlijke berichten mogelijk in gevaar worden gebracht.
De gestolen gegevens van deze individuele aanvallen worden vervolgens geëxfiltreerd naar de server van de aanvaller met behulp van verschillende technieken, waaronder anonieme services voor het delen van bestanden en HTTP-verzoeken. De aanvallers gebruiken unieke identificatiegegevens om elk slachtoffer te volgen.
Om detectie te omzeilen, gebruikten de aanvallers ingewikkelde verduisteringstechnieken in hun code, waaronder manipulatie van witruimte en misleidende namen van variabelen. Ze hebben persistentiemechanismen opgezet, systeemregisters aangepast en gegevensstelende operaties uitgevoerd in verschillende softwareapplicaties.
Ondanks deze geavanceerde tactieken merkten enkele waakzame leden van de Top.gg-gemeenschap de kwaadaardige activiteiten op en rapporteerden deze, wat ertoe leidde dat Cloudflare de misbruikte domeinen verwijderde, aldus Checkmarx. Toch beschouwt Kadouri van Checkmarx de dreiging nog steeds als ‘actief’.
Hoe ontwikkelaars te beschermen
IT-beveiligingsprofessionals moeten regelmatig nieuwe codeprojectbijdragen monitoren en auditen en zich richten op voorlichting en bewustwording voor ontwikkelaars over de risico's van supply chain-aanvallen.
“Wij geloven in het opzij zetten van concurrentie en samenwerken om de open source-ecosystemen te beschermen tegen aanvallers”, zegt Kadouri. “Het delen van middelen is cruciaal om een voorsprong te hebben op bedreigingsactoren in de softwaretoeleveringsketen.”
Verwacht dat aanvallen op de software-toeleveringsketen zullen doorgaan, aldus Kadouri. “Ik geloof dat de evolutie van supply chain-aanvallen zal toenemen in build pipelines, AI en grote taalmodellen.”
Onlangs hebben opslagplaatsen voor machinaal lerende modellen, zoals Hugging Face, bedreigingsactoren kansen geboden injecteer kwaadaardige code in ontwikkelomgevingen, vergelijkbaar met open-source repository's npm en PyPI.
Er zijn de laatste tijd andere beveiligingsproblemen met de toeleveringsketen van software ontstaan, die van invloed zijn op cloudversies van JetBrains TeamCity-softwareontwikkelingsplatform beheerder ook kwaadaardige code-updates is in september in honderden GitHub-opslagplaatsen terechtgekomen.
En door zwakke authenticatie en toegangscontroles konden Iraanse hacktivisten een supply chain-aanval eerder deze maand op Israëlische universiteiten via een technologieleverancier.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/application-security/github-developers-hit-in-complex-supply-chain-cyberattack
