最近,黑客针对 Discord Top.gg 的 GitHub 账户展开了供应链攻击。超过 170,000 名成员的Top.gg社区受到了供应链攻击的影响, 此次攻击导致账户密码、凭证以及其他敏感信息被窃取,给众多开发人员造成了影响。
攻击者通常渗透到受信任的软件开发者之中。他们利用窃取的 cookie 劫持 GitHub 帐户,通过验证来提交恶意代码,并且建立伪造的 Python 镜像站点,并在 PyPI 注册表上发布受污染的软件包。
Top.gg 是本次攻击最大受害者之一,Top.gg是一个针对 Discord 用户的在线平台, 这是一个国外流行的搜索服务平台,Checkmarx 研究人员发现本次攻击行动, 并且指出黑客的主要目标很可能是盗取用户数据, 通过出售被盗信息实现获利。
攻击者最近一次上传是今年3月一个名为 “yocolor” 的软件包。
图源:Checkmarx
这个假冒的镜像站点被用来托管恶意修改过的合法软件包版本,极具代表性的是一个名为 “colorama” 软件包,其目的是侵入用户和开发系统,使开发者从该pypi代理源下载依赖。
Checkmarx强调了一个3月份的案例,攻击者黑入了 “editor-syntax” 的账户,这是一个在top.gg平台上具有重大写入权限的维护者账户。通过这个账户,攻击者能够修改top.gg在GitHub上的仓库,对python-sdk仓库进行恶意提交, 通过修改”requirements.txt”(pypi包管理器的特征文件)文件, 将代理仓库的地址修改为攻击者建立的伪造站点, 一旦恶意 Python 代码被执行便会自动向伪造站点下载恶意软件包。
图源:Checkmarx
该恶意软件还可以窃取受害者的加密货币钱包、Telegram的cookie数据和 Instagram 个人资料信息。在后一种情况下,攻击者使用受害者的会话令牌来检索其帐户详细信息,并使用键盘记录器来捕获账号密码信息,从而可能泄露密码以及个人隐私。
这些攻击者盗取的数据会通过各种技术(如匿名文件共享服务, http请求…)收集开发者的隐私数据, 从而通过出售被盗信息实现获利。
为了逃避检测, 攻击者往往在代码中试用复杂的加密混淆技术, 包括试用误导性的变量名称, URL网址等, 他们建立的持久性的信息收集网, 通过修改注册表, 并且执行跨应用的程序进行数据窃取。
图源:Checkmarx
开发者如何“自保”
1. 定期审查和验证依赖关系:在项目中使用的所有第三方库和组件都应该经过审查和验证。确保从官方和可信任的来源获取依赖项,并定期检查更新以获取最新的安全修复。
2. 使用数字签名:下载组件时要确保其来源可靠,并验证数字签名以确保组件的完整性和真实性。这可以帮助防止恶意篡改或替换组件。
3. 限制权限:软件维护者应该限制开发者的代码提交权限,只提供开发所需的最低权限,以降低潜在的攻击面。
4. 持续监控和更新:定期监控项目中使用的组件和依赖项的安全漏洞情况,并及时进行更新和修复。
5. 安全培训:为开发团队提供安全意识和培训,使他们能够识别潜在的安全风险并采取相应的措施。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/35235.html
