Programiści GitHub trafili w cyberatak na złożony łańcuch dostaw

Niezidentyfikowana grupa cyberprzestępców zorganizowała wyrafinowany cyberatak na łańcuch dostaw na członków organizacji Top.gg GitHub, a także poszczególnych programistów w celu wstrzyknięcia szkodliwego kodu do ekosystemu kodu.

Osoby atakujące infiltrowały zaufane elementy oprogramowania, aby narażać programistów na szwank. Porywali konta GitHub za pomocą skradzionych plików cookie, przesyłali złośliwy kod poprzez zweryfikowane zatwierdzenia, tworzyli fałszywe lustro Pythona i udostępniali skażone pakiety w rejestrze PyPi.

„Wiele TTP pomaga atakującym w tworzeniu wyrafinowanych ataków, unikaniu wykrycia, zwiększaniu szans na udane wykorzystanie i komplikowanie wysiłków obronnych” – mówi Jossef Harush Kadouri, szef bezpieczeństwa łańcucha dostaw oprogramowania w firmie Checkmarx.

Jak wynika z wpisu na blogu badaczy Checkmarx, napastnicy wykorzystali przekonującą technikę typosquattingu, wykorzystując fałszywą domenę lustrzaną Pythona, przypominającą oficjalną, w celu oszukania użytkowników.

Manipulując popularnymi pakietami Pythona, takimi jak Colorama — używanym przez ponad 150 milionów użytkowników do uproszczenia procesu formatowania tekstu — napastnicy ukryli złośliwy kod w pozornie legalnym oprogramowaniu, rozszerzając swój zasięg poza repozytoria GitHub.

Wykorzystywali także cieszące się dobrą reputacją konta GitHub Top.gg do umieszczania złośliwych zatwierdzeń i zwiększania wiarygodności swoich działań. Top.gg liczy 170,000 XNUMX członków.

Kradzież danych

W końcowej fazie ataku złośliwe oprogramowanie wykorzystywane przez grupę zagrożeń kradnie poufne informacje od ofiary. Może atakować popularne platformy użytkowników, w tym przeglądarki internetowe, takie jak Opera, Chrome i Edge — atakując pliki cookie, dane autouzupełniania i dane uwierzytelniające. Szkodnik wykorzenia również konta Discord i nadużywa odszyfrowanych tokenów, aby uzyskać nieautoryzowany dostęp do kont ofiar na platformie.

Szkodnik może kraść portfele kryptowalut ofiary, dane sesji Telegramu i informacje o profilu na Instagramie. W tym drugim scenariuszu osoba atakująca wykorzystuje tokeny sesji ofiary do odzyskania szczegółów jej konta, wykorzystując keylogger do przechwytywania naciśnięć klawiszy, co może potencjalnie spowodować naruszenie haseł i osobistych wiadomości.

Dane skradzione w wyniku tych pojedynczych ataków są następnie przesyłane na serwer osoby atakującej przy użyciu różnych technik, w tym usług anonimowego udostępniania plików i żądań HTTP. Napastnicy wykorzystują unikalne identyfikatory do śledzenia każdej ofiary.

Aby uniknąć wykrycia, napastnicy zastosowali w swoim kodzie skomplikowane techniki zaciemniania, w tym manipulację białymi znakami i wprowadzające w błąd nazwy zmiennych. Ustanowili mechanizmy trwałości, zmodyfikowali rejestry systemowe i wykonali operacje kradzieży danych w różnych aplikacjach.

Pomimo tej wyrafinowanej taktyki niektórzy czujni członkowie społeczności Top.gg zauważyli szkodliwe działania i zgłosili je, co według Checkmarx doprowadziło do usunięcia przez Cloudflare nadużywanych domen. Mimo to Kadouri z Checkmarxa nadal uważa zagrożenie za „aktywne”.

Jak chronić programistów

Specjaliści ds. bezpieczeństwa IT powinni regularnie monitorować i audytować wkład w projekty nowego kodu oraz skupiać się na edukacji i zwiększaniu świadomości programistów w zakresie ryzyka ataków na łańcuch dostaw.

„Wierzymy, że należy odłożyć na bok konkurencję i współpracować, aby zabezpieczyć ekosystemy open source przed atakami” – mówi Kadouri. „Dzielenie się zasobami ma kluczowe znaczenie dla uzyskania przewagi nad podmiotami zagrażającymi w łańcuchu dostaw oprogramowania”.

Według Kadouri należy spodziewać się kontynuacji ataków na łańcuch dostaw oprogramowania. „Wierzę, że ewolucja ataków na łańcuch dostaw będzie się nasilać w zakresie potoków budowy, sztucznej inteligencji i dużych modeli językowych”.

Ostatnio repozytoria modeli uczenia maszynowego, takie jak Hugging Face, zapewniły cyberprzestępcom możliwości wprowadzać złośliwy kod do środowisk programistycznych, podobnie jak repozytoria typu open source npm i PyPI.

Niedawno pojawiły się inne problemy związane z bezpieczeństwem łańcucha dostaw oprogramowania, wpływające na wersje JetBrains w chmurze Platforma programistyczna TeamCity menadżer również aktualizacje złośliwego kodu przedostał się we wrześniu do setek repozytoriów GitHub.

Natomiast słabe uwierzytelnianie i kontrola dostępu umożliwiły irańskim haktywistom przeprowadzenie m.in atak na łańcuch dostaw na początku tego miesiąca na izraelskich uniwersytetach za pośrednictwem dostawcy technologii.

Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
Źródło: https://www.darkreading.com/application-security/github-developers-hit-in-complex-supply-chain-cyberattack

Generatywna analiza danych

Programiści GitHub ofiarą złożonego cyberataku na łańcuch dostaw

Kradzież danych

Jak chronić programistów

Kawiarnia

Kawiarnia

Najnowsza inteligencja

Bitcoin prowadzi 30-dniową sprzedaż NFT, wyprzedzając 24 konkurentów Blockchain

Niesamowite historie technologiczne z całego internetu z tego tygodnia (do 27 kwietnia)

Nadanie priorytetu przewadze pierwszego gracza nad bezpieczeństwem pozostawia protokoły Defi podatne na ataki hakerskie – Nikita Ovchinnik

HKTDC prezentuje wydarzenia dotyczące prezentów, drukowania, pakowania i licencjonowania

Carlie Hanson składa hołd swoim szczerym coverem utworu „Nutshell” Alice In Chains

Hyundai zbuduje więcej hybryd, aby uzupełnić spadający popyt na pojazdy elektryczne – Autoblog