Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Các nhà phát triển GitHub bị tấn công mạng vào chuỗi cung ứng phức tạp

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 312

Một nhóm tác nhân đe dọa chưa xác định đã dàn dựng một cuộc tấn công mạng tinh vi vào chuỗi cung ứng nhằm vào các thành viên của tổ chức Top.gg GitHub cũng như các nhà phát triển cá nhân nhằm đưa mã độc vào hệ sinh thái mã.

Những kẻ tấn công đã xâm nhập vào các yếu tố phát triển phần mềm đáng tin cậy để xâm phạm các nhà phát triển. Họ đã chiếm đoạt tài khoản GitHub bằng cookie bị đánh cắp, đóng góp mã độc thông qua các cam kết đã được xác minh, thiết lập một máy nhân bản Python giả mạo và phát hành các gói bị nhiễm độc trên sổ đăng ký PyPi.

Jossef Harush Kadouri, người đứng đầu bộ phận bảo mật chuỗi cung ứng phần mềm tại Checkmarx cho biết: “Nhiều TTP giúp kẻ tấn công tạo ra các cuộc tấn công phức tạp, trốn tránh bị phát hiện, tăng cơ hội khai thác thành công và làm phức tạp các nỗ lực phòng thủ”.

Theo một bài đăng trên blog của các nhà nghiên cứu của Checkmarx, những kẻ tấn công đã sử dụng kỹ thuật đánh máy thuyết phục với miền nhân bản Python giả giống với miền chính thức để đánh lừa người dùng.

Bằng cách giả mạo các gói Python phổ biến như Colorama – được hơn 150 triệu người dùng sử dụng để đơn giản hóa quá trình định dạng văn bản – những kẻ tấn công đã che giấu mã độc trong phần mềm có vẻ hợp pháp, mở rộng phạm vi tiếp cận của chúng ra ngoài kho GitHub.

Họ cũng khai thác các tài khoản GitHub Top.gg có uy tín cao để chèn các cam kết độc hại và tăng độ tin cậy cho hành động của họ. Top.gg được tạo thành từ 170,000 thành viên.

Trộm cắp dữ liệu

Trong giai đoạn cuối của cuộc tấn công, phần mềm độc hại được nhóm đe dọa sử dụng sẽ đánh cắp thông tin nhạy cảm của nạn nhân. Nó có thể nhắm mục tiêu vào các nền tảng người dùng phổ biến bao gồm các trình duyệt Web như Opera, Chrome và Edge — nhắm mục tiêu cookie, dữ liệu tự động điền và thông tin xác thực. Phần mềm độc hại cũng root tài khoản Discord và lạm dụng mã thông báo được giải mã để có quyền truy cập trái phép vào tài khoản nạn nhân trên nền tảng.

Phần mềm độc hại có thể đánh cắp ví tiền điện tử, dữ liệu phiên Telegram và thông tin hồ sơ Instagram của nạn nhân. Trong trường hợp thứ hai, kẻ tấn công sử dụng mã thông báo phiên của nạn nhân để lấy thông tin chi tiết tài khoản của họ, sử dụng keylogger để ghi lại các thao tác gõ phím, có khả năng xâm phạm mật khẩu và tin nhắn cá nhân.

Dữ liệu bị đánh cắp từ các cuộc tấn công riêng lẻ này sau đó sẽ được chuyển đến máy chủ của kẻ tấn công bằng nhiều kỹ thuật khác nhau, bao gồm các dịch vụ chia sẻ tệp ẩn danh và yêu cầu HTTP. Những kẻ tấn công sử dụng số nhận dạng duy nhất để theo dõi từng nạn nhân.

Để tránh bị phát hiện, những kẻ tấn công đã sử dụng các kỹ thuật làm xáo trộn phức tạp trong mã của chúng, bao gồm thao tác khoảng trắng và đặt tên biến sai lệch. Họ đã thiết lập các cơ chế lưu trữ lâu dài, sửa đổi sổ đăng ký hệ thống và thực hiện các hoạt động đánh cắp dữ liệu trên nhiều ứng dụng phần mềm khác nhau.

Theo Checkmarx, bất chấp những chiến thuật phức tạp này, một số thành viên cộng đồng Top.gg cảnh giác đã nhận thấy các hoạt động độc hại và báo cáo nó, dẫn đến việc Cloudflare phải gỡ bỏ các miền bị lạm dụng. Mặc dù vậy, Kadouri của Checkmarx vẫn coi mối đe dọa là “đang hoạt động”.

Cách bảo vệ nhà phát triển

Các chuyên gia bảo mật CNTT nên thường xuyên theo dõi và kiểm tra những đóng góp của dự án mã mới, đồng thời tập trung vào giáo dục và nâng cao nhận thức cho các nhà phát triển về rủi ro của các cuộc tấn công chuỗi cung ứng.

Kadouri cho biết: “Chúng tôi tin vào việc đặt cạnh tranh sang một bên và hợp tác để làm cho hệ sinh thái nguồn mở được an toàn trước những kẻ tấn công”. “Chia sẻ tài nguyên là rất quan trọng để có lợi thế trước các tác nhân đe dọa chuỗi cung ứng phần mềm.”

Theo Kadouri, các cuộc tấn công vào chuỗi cung ứng phần mềm sẽ tiếp tục diễn ra. “Tôi tin rằng sự phát triển của các cuộc tấn công chuỗi cung ứng sẽ gia tăng trong các quy trình xây dựng, AI và các mô hình ngôn ngữ lớn.”

Gần đây, các kho lưu trữ mô hình học máy như Ôm mặt đã tạo cơ hội cho các tác nhân đe dọa tấn công. đưa mã độc vào môi trường phát triển, tương tự như kho lưu trữ nguồn mở npm và PyPI.

Các vấn đề bảo mật chuỗi cung ứng phần mềm khác đã phát sinh gần đây, ảnh hưởng đến các phiên bản đám mây của JetBrains Nền tảng phát triển phần mềm TeamCity người quản lý cũng như cập nhật mã độc lọt vào hàng trăm kho GitHub vào tháng 9.

Và các biện pháp kiểm soát truy cập và xác thực yếu đã cho phép những kẻ tấn công Iran tiến hành một cuộc tấn công. tấn công chuỗi cung ứng đầu tháng này tại các trường đại học Israel thông qua một nhà cung cấp công nghệ.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.