170.000'den fazla üyeye sahip Top.GG Discord Bot topluluğu, geliştiricileri hassas bilgileri çalan kötü amaçlı yazılımlarla enfekte etmeyi amaçlayan bir tedarik zinciri saldırısından etkilenmiştir.
Tehdit oyuncusu, yıllar boyunca GitHub hesaplarını ele geçirmek, kötü niyetli Python paketlerinin dağıtılması, sahte bir python altyapısı ve sosyal mühendislik kullanma da dahil olmak üzere çeşitli taktikler, teknikler ve prosedürler (TTP'ler) kullanıyor.
Saldırganın daha yeni kurbanlarından biri, Discord Sunucular, Botlar ve Oyun, Katılım Artırma ve İşlevselliği Geliştirmeye yönelik diğer sosyal araçlar için popüler bir arama ve keşif platformu olan Top.GG'dir.
CheckMarx araştırmacıları kampanyayı keşfetti ve ana hedefin çalınan bilgileri satarak büyük olasılıkla veri hırsızlığı ve para kazanma olduğunu belirtti.
Araştırmacılara göre, saldırganın etkinliği Kasım 2022'de, Python Paket Endeksi'ne (PYPI) ilk kez kötü amaçlı paketler yüklediklerinde başladı.
Takip eden yıllarda, PYPI'ye kötü amaçlı yazılım taşıyan daha fazla paket yüklendi. Bunlar, arama motoru sonuçlarında iyi sıralama olasılığını artıracak cazip açıklamalarla popüler açık kaynaklı araçlara benziyordu.
En son yükleme, bu yıl Mart ayında "Yocolor" adlı bir paketti.
2024'ün başlarında, saldırganlar "Dosyalar [.] Pypihosted [.] Org" da sahte bir Python paket aynası kurdu, bu da pypi paketlerinin artifact dosyalarının olduğu otantik "dosyaları taklit etmek için yazım hatası bir girişimdir. saklanmış.
Bu sahte ayna, kullanıcıları ve geliştirme sistemlerini bu kötü niyetli kaynağı kullanmaya yönelik olarak kandırmak amacıyla popüler "colorama" paketinin değiştirilmiş bir versiyonu gibi meşru paketlerin zehirli sürümlerini barındırmak için kullanıldı.
PYPI'ye yüklenen kötü amaçlı paketler, sistemleri tehlikeye atmak için ilk vektör olarak hizmet etti. Bir sistemden ödün verildiğinde veya saldırganlar ayrıcalıklı GitHub hesaplarını kaçırırsa, sahte aynada barındırılan bağımlılıklara işaret etmek için proje dosyalarını değiştirdiler.
CheckMarx, saldırganların, platformun GitHub depolarında önemli yazma erişim izinleri olan "Editör-SynTax" ın bir Top.GG bakıcısı "Editör-SynTax" hesabını hacklediği bir davayı vurgular.
Saldırgan, görünürlüklerini ve güvenilirliklerini artırmak için "Colorama" nın zehirli versiyonuna bağımlılık eklemek ve diğer kötü amaçlı depoları depolamak gibi TOP.GG'nin Python-SDK deposuna kötü niyetli taahhütler gerçekleştirmek için hesabı kullandı.
Kötü niyetli Python kodu yürütüldükten sonra, bir uzak sunucudan son yükü şifrelenmiş formda getiren küçük bir yükleyici veya damlalık komut dosyası indirerek bir sonraki aşamayı etkinleştirir.
Kötü amaçlı yazılım, Windows kayıt defterini değiştirerek yeniden başlatmalar arasında uzlaşmış makinede kalıcılık oluşturur.
Kötü amaçlı yazılımların veri çalma özellikleri aşağıda özetlenebilir:
Çalıntı tüm veriler, benzersiz donanım tabanlı tanımlayıcılar veya IP adresleri taşıyan HTTP istekleri aracılığıyla komut ve kontrol sunucusuna gönderilir. Paralel olarak, Anonfiles ve GoFile gibi dosya barındırma hizmetlerine yüklenir.
Bu kampanyadan etkilenen kullanıcı sayısı bilinmemektedir, ancak CheckMarx'ın raporu açık kaynaklı tedarik zincirinin risklerini ve geliştiricilerin yapı taşlarının güvenliğini kontrol etmesinin önemini vurgulamaktadır.
100'den fazla ABD ve AB orgs Strelastealer kötü amaçlı yazılım saldırılarını hedef aldı
Japonya, Kuzey Koreli hackerlar tarafından yaratılan kötü niyetli Pypi paketlerini uyarıyor
Lockbit Fidye Yazılımı Gizli Yepyeni Nesil Şifremi Yayılmadan Önce
Facebook Reklamları Yeni OV3R_STEALER Şifre Çalma Kötü Yazılım
THEOON kötü amaçlı yazılım, proxy hizmeti için 72 saat içinde 6.000 asus yönlendiricisine enfekte ediyor
Kaynak: Bleeping Computer