Bir Python kodlama topluluğu, tehdit aktörlerinin 170.000 güçlü Top.gg GitHub kuruluşunu kötü amaçlı yazılımla hedef aldığı bir yazılım tedarik zinciri saldırısına maruz kalıyor.
Top.gg, Discord ekosistemindeki geliştiricilerin çalışmalarını destekleyen ve milyonlarca bota ev sahipliği yapan Discord Botları olarak hayata başladı.
Top.gg üyelerine virüs bulaştığında çalınan veriler arasında Opera, Chrome, Brave, Vivaldi, Yandex ve Edge'den çerezler, otomatik doldurmalar, geçmiş, yer imleri, kredi kartları ve oturum açma bilgileri gibi tarayıcı verileri; Şifresi çözülürse saldırganların kurbanın hesabına erişmesini sağlayacak olan Discord tokenları da dahil olmak üzere Discord verileri.
Kripto para cüzdanları, Telegram oturum verileri, Instagram verileri ve kurbanın bilgisayarındaki dosyalar da hırsızlığın hedefi oldu.
Checkmarx'a göre, Top.gg ve bazı bireysel geliştiriciler, “çalınan tarayıcı çerezleri yoluyla hesabı ele geçirmek, doğrulanmış taahhütlerle kötü amaçlı kod eklemek, özel bir Python aynası kurmak ve kötü amaçlı paketleri bilgisayara yayınlamak” gibi yaklaşımları içeren kötü niyetli kişiler tarafından hedef alındı. PyPi kaydı”.
Saldırganların asıl amacı, daha önce Mayıs 2022, Ağustos 2022 ve Ocak 2023'te benzer şekilde saldırıya uğrayan PyPi aracılığıyla kötü amaçlı yazılım bulaşmış yazılımları dağıtmaktı.
Saldırı çok yönlüydü. Checkmarx'ın belirttiği gibi saldırganlar, Colorama (Python terminalinde renkli metin görüntüleyen) gibi paketlerin klonları ve popüler resmi PyPi paketi ana bilgisayar files.pythonhosted.org'da yazım hatası yapmak da dahil olmak üzere “çoklu” taktikler, teknikler ve prosedürler (TTP'ler) kullandılar. dosyaların bulunduğu alan adı[.]pypihosted[.]org.
Araştırmacılar, saldırganların muhtemelen çalıntı oturum çerezleri yoluyla GitHub hesap düzenleyici-sözdizimini hedeflediklerini söyledi. Editör-sözdizimi hesabı sahibi, Top.gg'in koruyucusudur ve Top.gg'in depolarına yazma izinlerine sahiptir.
Bu onların zehirli Colorama'larını Top.gg'in Python SDK'sının gereksinimler listesine eklemelerine olanak sağladı.
Kötü amaçlı yazılımın ayrıca bir kalıcılık mekanizması da var: Checkmarx, Windows kayıt defterinin yeni bir çalıştırma anahtarı oluşturacak şekilde değiştirildiğini ve bunun “sistem her yeniden başlatıldığında kötü amaçlı Python kodunun yürütülmesini sağladığını” yazdı.