Кілька розробників Python, у тому числі Top.gg, були заражені шкідливим програмним забезпеченням для крадіжки інформації після завантаження шкідливого клону дуже популярного інструменту, повідомляє Security Week.
Утиліта під назвою Colorama забезпечує роботу послідовностей керуючих символів ANSI у Windows і має понад 150 мільйонів завантажень щомісяця.
Щоб здійснити атаку на ланцюг поставок, хакери клонували інструмент, вставили в нього зловмисний код і розмістили шкідливу версію на фальшивому дзеркальному домені, який покладався на typosquatting, щоб змусити розробників прийняти його за законне дзеркало files.pythonhosted.org.
Щоб розповсюдити пакет зі зловмисним програмним забезпеченням, зловмисники створили шкідливі репозиторії у своїх облікових записах і захопили облікові записи високого профілю, включно з обліковим записом GitHub editor-syntax, супроводжувачем платформи пошуку та виявлення Top.gg для Discord – спільноти із понад 170 тисячами учасників.
Використовуючи обліковий запис editor-syntax, хакери внесли зловмисну фіксацію в репозиторій top-gg/python-sdk, додавши інструкції для завантаження шкідливого клону Colorama, і позначили шкідливі репозиторії GitHub зірочкою для підвищення їхньої видимості.
Ймовірно, обліковий запис було зламано через вкрадені файли cookie, які зловмисники використовували для обходу автентифікації та виконання шкідливих дій, не знаючи пароля облікового запису. Кілька членів спільноти Top.gg були скомпрометовані в результаті цього.
Щоб приховати діяльність у своїх репозиторіях, зловмисники одночасно створили кілька файлів, у тому числі легітимні й ті, що містили посилання на клонований пакет Colorama.
Щоб приховати шкідливий код у Colorama, вони додали численні пробіли, витіснивши фрагмент за межі екрана, щоб його не було помітно під час швидкого перегляду вихідних файлів. Також було встановлено код, який виконувався щоразу, коли Colorama імпортувалася.
Після виконання зловмисного коду процес зараження продовжувався як завантаження та виконання додаткового коду Python, отримання необхідних бібліотек і налаштування збереження.
Зрештою, системи розробників були заражені шкідливим програмним забезпеченням, здатним реєструвати натискання клавіш і викрадати дані із браузерів (зокрема, Brave, Chrome, Edge, Opera, Vivaldi та Yandex), Discord, криптовалютних гаманців, сеансів Telegram, Instagram та компʼютерних файлів.
«Викрадені дані переносяться на сервер зловмисника за допомогою різних методів. Код містить функції для завантаження файлів до анонімних файлообмінних служб, таких як GoFile та Anonfiles. Також він надсилає вкрадену інформацію на сервер зловмисника за допомогою HTTP-запитів», – зазначає Checkmarx.
Раніше ми повідомляли, що корпорація Microsoft підтвердила проблему з Windows Server, що стоїть за збоями контролера домену.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
