Comunitatea de bot-uri Discord Top.gg, cu peste 170.000 de membri, a fost afectată de un atac de tip supply-chain care vizează infectarea dezvoltatorilor cu malware ce fura informații sensibile.
Actorul de amenințare a folosit mai multe tactici, tehnici și proceduri (TTPs) de-a lungul anilor, inclusiv confiscarea conturilor GitHub, distribuirea de pachete Python maligne, folosirea unei infrastructuri Python false și manipularea socială.
Unul dintre victimele mai recente ale atacatorului este Top.gg, o platformă populară de căutare și descoperire a serverelor Discord, bot-urilor și altor instrumente sociale axate pe jocuri, sporirea implicării și îmbunătățirea funcționalității.
Cercetătorii Checkmarx au descoperit campania și au remarcat că principalul obiectiv a fost cel mai probabil furtul de date și monetizarea prin vânzarea informațiilor furate.
Conform cercetătorilor, activitatea atacatorului a început în noiembrie 2022, când au încărcat pentru prima dată pachete maligne pe Python Package Index (PyPI).
În anii care au urmat, au fost încărcate mai multe pachete conținând malware pe PyPI. Acestea semănau cu unelte open-source populare, cu descrieri atrăgătoare care le-ar face mai susceptibile să se clasifice bine în rezultatele motoarelor de căutare.
Ultima încărcare a fost un pachet numit „yocolor” în martie anul acesta.
La începutul anului 2024, atacatorii au creat un fals mirror pentru pachete Python la „files[.]pypihosted[.]org,” într-o încercare de tiposquatting de a imita autenticul „files.pythonhosted.org” unde sunt stocate fișierele artefact ale pachetelor PyPI.
Acest mirror fals a fost folosit pentru a găzdui versiuni otrăvite ale pachetelor legitime, cum ar fi o versiune modificată a pachetului popular „colorama”, cu scopul de a păcăli utilizatorii și sistemele de dezvoltare să folosească această sursă malignă.
Pachetele maligne încărcate pe PyPI au servit drept vector inițial pentru compromiterea sistemelor. Odată ce un sistem a fost compromis, sau dacă atacatorii au confiscat conturi privilegiate GitHub, au modificat fișierele proiectului pentru a indica dependențele găzduite pe mirrorul fals.
Checkmarx evidențiază un caz din martie în care atacatorii au spart contul unui întreținător de top.gg, „editor-syntax,” care avea permisiuni semnificative de scriere pe repository-urile GitHub ale platformei.
Atacatorul a folosit contul pentru a face commit-uri maligne la repository-ul python-sdk al Top.gg, cum ar fi adăugarea unei dependențe la versiunea otrăvită a „colorama” și stocarea altor repository-uri maligne, pentru a-și crește vizibilitatea și credibilitatea.
Odată ce codul Python malign este executat, activează următoarea etapă prin descărcarea de pe un server remote a unui script mic de încărcare sau dropper care preia payload-ul final sub formă criptată.
Malware-ul stabilește persistența pe mașina compromisă între reporniri prin modificarea Registrului Windows.
Capacitățile de furt de date ale malware-ului pot fi rezumate astfel:
Toate datele furate sunt trimise la serverul de control și comandă prin cereri HTTP, purtând identificatori unici bazate pe hardware sau adrese IP. În paralel, sunt încărcate pe servicii de găzduire de fișiere precum Anonfiles și GoFile.
Numărul utilizatorilor afectați de această campanie este necunoscut, dar raportul de la Checkmarx evidențiază riscurile lanțului de aprovizionare open-source și importanța ca dezvoltatorii să verifice securitatea blocurilor lor de construcție.
Leave a Reply