GitHub-utvecklare drabbades av komplexa cyberattacker i försörjningskedjan

En oidentifierad grupp hotaktörer orkestrerade en sofistikerad cyberattack i leveranskedjan mot medlemmar av Top.gg GitHub-organisationen såväl som enskilda utvecklare för att injicera skadlig kod i kodens ekosystem.

Angriparna infiltrerade betrodda programvaruutvecklingselement för att äventyra utvecklare. De kapade GitHub-konton med stulna cookies, bidrog med skadlig kod via verifierade commits, etablerade en falsk Python-spegel och släppte fläckade paket i PyPi-registret.

"Flera TTP:er hjälper angripare att skapa sofistikerade attacker, undvika upptäckt, öka chanserna för framgångsrik exploatering och komplicera försvarsinsatser", säger Jossef Harush Kadouri, chef för mjukvaruförsörjningskedjan på Checkmarx.

Angriparna använde en övertygande typosquatting-teknik med en falsk Python-spegeldomän som liknar den officiella för att lura användare, enligt ett blogginlägg av Checkmarx-forskare.

Genom att manipulera populära Python-paket som Colorama – som används av mer än 150 miljoner användare för att förenkla processen med att formatera text – gömde angriparna skadlig kod i till synes legitim programvara, vilket utökade sin räckvidd utanför GitHub-förråd.

De utnyttjade också GitHub Top.gg-konton med högt anseende för att infoga skadliga åtaganden och öka trovärdigheten för deras handlingar. Top.gg består av 170,000 XNUMX medlemmar.

Datatycke

I slutskedet av attacken stjäl den skadliga programvaran som används av hotgruppen känslig information från offret. Den kan rikta in sig på populära användarplattformar inklusive webbläsare som Opera, Chrome och Edge – inriktad på cookies, autofylldata och autentiseringsuppgifter. Skadlig programvara rotar också ut Discord-konton och missbrukade dekrypterade tokens för att få obehörig åtkomst till offerkonton på plattformen.

Skadlig programvara kan stjäla offrets kryptovaluta-plånböcker, Telegram-sessionsdata och Instagram-profilinformation. I det sistnämnda scenariot använder angriparen offrets sessionstokens för att hämta deras kontouppgifter, och använder en keylogger för att fånga tangenttryckningar, vilket kan äventyra lösenord och personliga meddelanden.

De stulna data från dessa individuella attacker exfiltreras sedan till angriparens server med hjälp av olika tekniker, inklusive anonyma fildelningstjänster och HTTP-förfrågningar. Angriparna använder unika identifierare för att spåra varje offer.

För att undvika upptäckt använde angriparna intrikata förvirringstekniker i sin kod, inklusive manipulering av blanksteg och vilseledande variabelnamn. De etablerade uthållighetsmekanismer, modifierade systemregister och utförde datastölder i olika mjukvaruapplikationer.

Trots denna sofistikerade taktik, märkte några vaksamma Top.gg-gemenskapsmedlemmar de skadliga aktiviteterna och rapporterade det, vilket ledde till att Cloudflare tog ner de missbrukade domänerna, enligt Checkmarx. Trots det ser Checkmarx Kadouri fortfarande hotet som "aktivt".

Hur man skyddar utvecklare

IT-säkerhetsproffs bör regelbundet övervaka och granska nya kodprojektbidrag och fokusera på utbildning och medvetenhet för utvecklare om riskerna för attacker i leveranskedjan.

"Vi tror på att lägga konkurrensen åt sidan och arbeta tillsammans för att göra ekosystemen med öppen källkod säkra från angripare", säger Kadouri. "Att dela resurser är avgörande för att ha ett försprång framför hotaktörer i mjukvaruförsörjningskedjan."

Räkna med att attacker från mjukvaruförsörjningskedjan kommer att fortsätta, enligt Kadouri. "Jag tror att utvecklingen av attacker i supply chain kommer att öka när det gäller bygga pipelines och AI och stora språkmodeller."

Nyligen har maskinlärande modellförråd som Hugging Face erbjudit hotaktörer möjligheter att injicera skadlig kod i utvecklingsmiljöer, besläktad med öppen källkodsförråd npm och PyPI.

Andra säkerhetsproblem för mjukvaruförsörjningskedjan har uppstått nyligen, som påverkar molnversioner av JetBrains TeamCity mjukvaruutvecklingsplattform chef liksom uppdateringar av skadlig kod halkade in i hundratals GitHub-förråd i september.

Och svag autentisering och åtkomstkontroller tillät iranska hacktivister att utföra en försörjningskedjan attack tidigare denna månad på israeliska universitet via en teknikleverantör.

SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
Källa: https://www.darkreading.com/application-security/github-developers-hit-in-complex-supply-chain-cyberattack

Generativ dataintelligens

GitHub-utvecklare drabbades av komplexa cyberattacker i Supply Chain

Datatycke

Hur man skyddar utvecklare

Maximera vinster 2024: En omfattande titt på ValueZone.AI

Storbritanniens försvarsminister avslöjar italiensk leverans av stormskuggmissiler till Ukraina

Senaste intelligens

Direktsändning: SpaceX skjuter upp 23 Starlink-satelliter på Falcon 9-flyget från Cape Canaveral

Tre nycklar för öborna att vinna Game Five

Lakers vinner eftertraktad vinst mot Denver, nu under 3-1 i serien

Falcon 9 skjuter upp Galileo-navigationssatelliter

NEVS Emily GT designad av före detta Saab-ingenjörer kan byggas i Italien – Autoblog

Dogecoin- och Pepecoin-entusiaster samlas bakom ny AI-token lanserad av Wahoo Exchange Platform – CryptoInfoNet