Kimliği belirsiz saldırganlar, birçok bireysel geliştiricinin yanı sıra bir Discord bot keşif sitesi olan Top.gg ile ilişkili GitHub kuruluş hesabını da etkileyen karmaşık bir saldırı kampanyası düzenledi.
Checkmarx, paylaştığı teknik raporda şunları söyledi: “Tehdit aktörleri bu saldırıda, çalıntı tarayıcı çerezleri yoluyla hesap ele geçirme, doğrulanmış taahhütlerle kötü amaçlı kod ekleme, özel bir Python aynası kurma ve kötü amaçlı paketleri PyPI kayıt defterine yayınlama dahil olmak üzere birden fazla TTP kullandı.” Hacker Haberleri ile.
Yazılım tedarik zinciri saldırısının; şifreler, kimlik bilgileri ve diğer değerli veriler dahil olmak üzere hassas bilgilerin çalınmasına yol açtığı söyleniyor. Kampanyanın bazı yönleri daha önce ayın başında Mohammed Dief adlı Mısır merkezli bir geliştirici tarafından açıklanmıştı.
Bu esas olarak “files.txt” olarak bilinen resmi PyPI etki alanının akıllıca bir yazım hatasını ayarlamayı gerektiriyordu.pitonbarındırılan[.]org” adını vererek “files.org” adını verdi.pypibarındırılan[.]org” olarak adlandırılıyor ve bunu colorama gibi iyi bilinen paketlerin truva atı haline getirilmiş sürümlerini barındırmak için kullanıyor. Cloudflare o zamandan beri alanı devre dışı bıraktı.
Checkmarx araştırmacıları, “Tehdit aktörleri Colorama'yı (aylık 150 milyondan fazla indirmeye sahip oldukça popüler bir araç) alıp kopyaladılar ve kötü amaçlı kod yerleştirdiler” dedi. “Daha sonra, boşluk dolgusu kullanarak Colorama'daki zararlı yükü gizlediler ve bu değiştirilmiş sürümü, yazım hatası yapılmış alan sahte aynasında barındırdılar.”
Bu hileli paketler daha sonra github gibi GitHub depoları aracılığıyla yayıldı.[.]com/maleduque/Valorant-Checker ve github[.]com/Fronse/League-of-Legends-Checker, pip paket yöneticisi tarafından kurulacak Python paketlerinin listesi olarak hizmet veren bir gereksinimler.txt dosyası içeriyordu.
Yazım itibariyle aktif kalmaya devam eden bir depo github'dur[.]com/whiteblackgang12/Discord-Token-Generator, “files.pypihosted” üzerinde barındırılan colorama'nın kötü amaçlı sürümüne bir referans içerir[.]org.”
Ayrıca, kampanyanın bir parçası olarak, 20 Şubat 2024'te editor-syntax adlı bir hesap tarafından Top.gg'in python-sdk'siyle ilişkilendirilen gereksinimler.txt dosyası da değiştirildi. Sorun, depo yöneticileri tarafından giderildi.
“Editör-sözdizimi” hesabının, Top.gg GitHub organizasyonunun meşru bir sağlayıcısı olduğunu ve Top.gg depolarına yazılı izinlere sahip olduğunu, bu da tehdit aktörünün kötü niyetli bir işlem gerçekleştirmek için doğrulanmış hesabı ele geçirmeyi başardığını belirtmekte fayda var. .
Checkmarx, “'Editör-sözdizimi'nin GitHub hesabı muhtemelen çalınan çerezler yoluyla ele geçirilmiştir” dedi.
“Saldırgan, hesabın oturum çerezlerine erişim sağlayarak kimlik doğrulamasını atlamalarına ve GitHub kullanıcı arayüzünü kullanarak kötü amaçlı faaliyetler gerçekleştirmelerine olanak sağladı. Hesabı ele geçirmenin bu yöntemi, saldırganın hesabın şifresini bilmesini gerektirmediği için özellikle endişe verici.”
Dahası, kampanyanın arkasındaki tehdit aktörlerinin, tek bir işlemde hileli depolarda birden fazla değişiklik yaparak, require.txt dosyasındaki değişiklikleri gizlemek amacıyla tek örnekte 52 kadar dosyayı değiştirdiği söyleniyor.
Sahte colorama paketine yerleştirilmiş kötü amaçlı yazılım, uzak bir sunucudan Python kodunun yürütülmesine yol açan çok aşamalı bir enfeksiyon dizisini etkinleştirir; bu da Windows Kayıt Defteri değişiklikleri yoluyla ana bilgisayarda kalıcılık oluşturma ve web'den veri çalma yeteneğine sahiptir. tarayıcılar, kripto cüzdanlar, Discord belirteçleri ve Instagram ve Telegram ile ilgili oturum belirteçleri.
Araştırmacılar, “Kötü amaçlı yazılım, adlarında veya uzantılarında belirli anahtar kelimeler bulunan dosyaları arayan bir dosya çalma bileşeni içeriyor” dedi. “Masaüstü, İndirilenler, Belgeler ve Son Dosyalar gibi dizinleri hedefler.”
Yakalanan veriler sonuçta GoFile ve Anonfiles gibi anonim dosya paylaşım hizmetleri aracılığıyla saldırganlara aktarılıyor. Alternatif olarak veriler, kurbanın makinesini izlemek için donanım tanımlayıcı veya IP adresinin yanı sıra HTTP istekleri kullanılarak tehdit aktörünün altyapısına da gönderilir.
Araştırmacı, “Bu kampanya, kötü niyetli aktörlerin PyPI ve GitHub gibi güvenilir platformlar aracılığıyla kötü amaçlı yazılım dağıtmak için kullandıkları karmaşık taktiklerin en önemli örneğidir” dedi.
“Bu olay, güvenilir kaynaklardan bile paketler ve depolar kurarken dikkatli olmanın önemini vurgulamaktadır. Bu tür saldırıların kurbanı olma riskini azaltmak için bağımlılıkları kapsamlı bir şekilde incelemek, şüpheli ağ etkinliğini izlemek ve sağlam güvenlik uygulamalarını sürdürmek çok önemlidir.”