黑客针对 Discord Top.gg 的 GitHub 账户展开了供应链攻击

 

最近,黑客针对 Discord Top.gg 的 GitHub 账户展开了供应链攻击。超过 170,000 名成员的Top.gg社区受到了供应链攻击的影响, 此次攻击导致账户密码、凭证以及其他敏感信息被窃取,给众多开发人员造成了影响。

 

攻击者通常渗透到受信任的软件开发者之中。他们利用窃取的 cookie 劫持 GitHub 帐户,通过验证来提交恶意代码,并且建立伪造的 Python 镜像站点,并在 PyPI 注册表上发布受污染的软件包。

Top.gg 是本次攻击最大受害者之一,Top.gg是一个针对 Discord 用户的在线平台, 这是一个国外流行的搜索服务平台,Checkmarx 研究人员发现本次攻击行动, 并且指出黑客的主要目标很可能是盗取用户数据, 通过出售被盗信息实现获利。

 

攻击者团队

攻击者自2022年11月起, 便开始有预谋的多次在pypi(python包管理器)站点上传恶意软件包, 并且在之后的两年时间里, 陆续发布了超过15个恶意软件包到pypi站点, 这些包通常为流行的开源工具, 极具迷惑性, 且包含一些较为吸引开发者的描述词, 这使得他们发布的恶意软件包更容易被搜索服务推送。

攻击者最近一次上传是今年3月一个名为 “yocolor” 的软件包。

图源:Checkmarx

攻击路径

在2024年初,攻击者建立了一个假冒的Python包镜像站点 “files.pypihosted.org”,这是对官方“files.pythonhosted.org” 站点的拼写错误模仿尝试,后者是PyPI包构件文件的存储地。

 

这个假冒的镜像站点被用来托管恶意修改过的合法软件包版本,极具代表性的是一个名为 “colorama” 软件包,其目的是侵入用户和开发系统,使开发者从该pypi代理源下载依赖。

Checkmarx强调了一个3月份的案例,攻击者黑入了 “editor-syntax” 的账户,这是一个在top.gg平台上具有重大写入权限的维护者账户。通过这个账户,攻击者能够修改top.gg在GitHub上的仓库,对python-sdk仓库进行恶意提交, 通过修改”requirements.txt”(pypi包管理器的特征文件)文件, 将代理仓库的地址修改为攻击者建立的伪造站点, 一旦恶意 Python 代码被执行便会自动向伪造站点下载恶意软件包。

图源:Checkmarx

数据泄露

在攻击的最后阶段,威胁组织利用恶意软件窃取受害者的敏感信息。该软件可以针对流行的网络浏览器,如Opera、Chrome和Edge,窃取cookie、自动填充数据和凭据。此外,恶意软件还会盗取Discord账户并滥用解密的令牌,未经授权地访问受害者在平台上的账户。

该恶意软件还可以窃取受害者的加密货币钱包、Telegram的cookie数据和 Instagram 个人资料信息。在后一种情况下,攻击者使用受害者的会话令牌来检索其帐户详细信息,并使用键盘记录器来捕获账号密码信息,从而可能泄露密码以及个人隐私。

这些攻击者盗取的数据会通过各种技术(如匿名文件共享服务, http请求…)收集开发者的隐私数据, 从而通过出售被盗信息实现获利。

为了逃避检测, 攻击者往往在代码中试用复杂的加密混淆技术, 包括试用误导性的变量名称, URL网址等, 他们建立的持久性的信息收集网, 通过修改注册表, 并且执行跨应用的程序进行数据窃取。

图源:Checkmarx

开发者如何“自保”

1. 定期审查和验证依赖关系:在项目中使用的所有第三方库和组件都应该经过审查和验证。确保从官方和可信任的来源获取依赖项,并定期检查更新以获取最新的安全修复。

 

2. 使用数字签名:下载组件时要确保其来源可靠,并验证数字签名以确保组件的完整性和真实性。这可以帮助防止恶意篡改或替换组件。

 

3. 限制权限:软件维护者应该限制开发者的代码提交权限,只提供开发所需的最低权限,以降低潜在的攻击面。

 

4. 持续监控和更新:定期监控项目中使用的组件和依赖项的安全漏洞情况,并及时进行更新和修复。

5. 安全培训:为开发团队提供安全意识和培训,使他们能够识别潜在的安全风险并采取相应的措施。

 

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/35235.html

(0)
速盾高防cdn's avatar速盾高防cdn
上一篇 2024年4月9日 下午6:33
下一篇 2024年4月9日 下午6:34

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注