Um grupo não identificado de atores de ameaças orquestrou um sofisticado ataque cibernético à cadeia de suprimentos contra membros da organização Top.gg GitHub, bem como contra desenvolvedores individuais, a fim de injetar código malicioso no ecossistema de código.

Os invasores se infiltraram em elementos confiáveis ​​de desenvolvimento de software para comprometer os desenvolvedores. Eles sequestraram contas do GitHub com cookies roubados, contribuíram com código malicioso por meio de commits verificados, estabeleceram um espelho Python falsificado e lançaram pacotes contaminados no registro PyPi.

“Vários TTPs ajudam os invasores a criar ataques sofisticados, evitar a detecção, aumentar as chances de exploração bem-sucedida e complicar os esforços de defesa”, diz Jossef Harush Kadouri, chefe de segurança da cadeia de suprimentos de software da Checkmarx.

Os invasores utilizaram uma técnica convincente de typosquatting com um domínio espelho Python falso semelhante ao oficial para enganar os usuários, de acordo com uma postagem no blog de pesquisadores da Checkmarx.

Ao adulterar pacotes Python populares como o Colorama – que é usado por mais de 150 milhões de usuários para simplificar o processo de formatação de texto – os invasores ocultaram códigos maliciosos em softwares aparentemente legítimos, expandindo seu alcance além dos repositórios GitHub.

Eles também exploraram contas GitHub Top.gg de alta reputação para inserir commits maliciosos e aumentar a credibilidade de suas ações. Top.gg é composto por 170,000 membros.

roubo de dados

Na fase final do ataque, o malware utilizado pelo grupo de ameaças rouba informações confidenciais da vítima. Ele pode ter como alvo plataformas de usuários populares, incluindo navegadores da Web como Opera, Chrome e Edge – visando cookies, dados de preenchimento automático e credenciais. O malware também erradica contas do Discord e abusa de tokens descriptografados para obter acesso não autorizado às contas das vítimas na plataforma.

O malware pode roubar carteiras de criptomoedas das vítimas, dados de sessões do Telegram e informações de perfil do Instagram. No último cenário, o invasor usa os tokens de sessão da vítima para recuperar os detalhes de sua conta, empregando um keylogger para capturar as teclas digitadas, comprometendo potencialmente senhas e mensagens pessoais.

Os dados roubados desses ataques individuais são então exfiltrados para o servidor do invasor usando diversas técnicas, incluindo serviços anônimos de compartilhamento de arquivos e solicitações HTTP. Os invasores utilizam identificadores exclusivos para rastrear cada vítima.

Para evitar a detecção, os invasores empregaram técnicas complexas de ofuscação em seu código, incluindo manipulação de espaços em branco e nomes de variáveis ​​enganosos. Eles estabeleceram mecanismos de persistência, modificaram registros de sistemas e executaram operações de roubo de dados em vários aplicativos de software.

Apesar dessas táticas sofisticadas, alguns membros vigilantes da comunidade Top.gg notaram as atividades maliciosas e as denunciaram, o que levou a Cloudflare a derrubar os domínios abusados, de acordo com Checkmarx. Mesmo assim, Kadouri, da Checkmarx, ainda considera a ameaça como “ativa”.

Como proteger os desenvolvedores

Os profissionais de segurança de TI devem monitorar e auditar regularmente as contribuições de novos projetos de código e concentrar-se na educação e conscientização dos desenvolvedores sobre os riscos de ataques à cadeia de suprimentos.

“Acreditamos em deixar a concorrência de lado e trabalhar juntos para tornar os ecossistemas de código aberto protegidos contra invasores”, diz Kadouri. “Compartilhar recursos é crucial para ter vantagem sobre os atores de ameaças à cadeia de suprimentos de software.”

Espere que os ataques à cadeia de fornecimento de software continuem, de acordo com Kadouri. “Acredito que a evolução dos ataques à cadeia de suprimentos aumentará na construção de pipelines, IA e grandes modelos de linguagem.”

Recentemente, repositórios de modelos de aprendizado de máquina, como o Hugging Face, ofereceram aos agentes de ameaças oportunidades para injetar código malicioso em ambientes de desenvolvimento, semelhante aos repositórios de código aberto npm e PyPI.

Outros problemas de segurança da cadeia de fornecimento de software surgiram recentemente, afetando as versões em nuvem do JetBrains Plataforma de desenvolvimento de software TeamCity gerente, bem como atualizações de código malicioso entrou em centenas de repositórios GitHub em setembro.

E os fracos controles de autenticação e acesso permitiram que hacktivistas iranianos conduzissem uma ataque à cadeia de abastecimento no início deste mês em universidades israelenses através de um fornecedor de tecnologia.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/application-security/github-developers-hit-in-complex-supply-chain-cyberattack