Des pirates détournent des comptes GitHub lors d’une attaque sur la chaîne d’approvisionnement affectant Top-gg et d’autres
Des adversaires non identifiés ont orchestré une campagne d’attaque sophistiquée qui a touché plusieurs développeurs individuels ainsi que le compte de l’organisation GitHub associé à Top.gg, un site de découverte de robots Discord.
“Les auteurs de la menace ont utilisé plusieurs TTP dans cette attaque, notamment le piratage de compte via des cookies de navigateur volés, la contribution de code malveillant avec des validations vérifiées, la configuration d’un miroir Python personnalisé et la publication de packages malveillants dans le registre PyPI”, a déclaré Checkmarx dans un rapport technique partagé. avec The Hacker News.
L’attaque de la chaîne d’approvisionnement logicielle aurait conduit au vol d’informations sensibles, notamment des mots de passe, des informations d’identification et d’autres données précieuses. Certains aspects de la campagne avaient déjà été divulgués au début du mois par un développeur basé en Égypte nommé Mohammed Dief.
Cela impliquait principalement de créer un typosquat intelligent du domaine officiel PyPI connu sous le nom de « files. python hébergé[.]org », en lui donnant le nom « files. pypi hébergé[.]org » et de l’utiliser pour héberger des versions trojanisées de bien- packages connus comme colorama. Cloudflare a depuis supprimé le domaine.
“Les auteurs de la menace ont pris Colorama (un outil très populaire avec plus de 150 millions de téléchargements mensuels), l’ont copié et inséré du code malveillant”, ont déclaré les chercheurs de Checkmarx. “Ils ont ensuite dissimulé la charge utile nuisible dans Colorama à l’aide d’un remplissage spatial et ont hébergé cette version modifiée sur leur faux miroir de domaine typosquatté.”
Ces packages malveillants ont ensuite été propagés via des référentiels GitHub tels que github[.]com/maleduque/Valorant-Checker et github[.]com/Fronse/League-of-Legends-Checker qui contenaient un fichier Requirements.txt, qui sert de liste des packages Python à installer par le gestionnaire de packages pip.
Un référentiel qui continue de rester actif au moment de la rédaction est github[.]com/whiteblackgang12/Discord-Token-Generator , qui inclut une référence à la version malveillante de colorama hébergée sur « files.pypihosted[.]org ».
/>Le fichier Requirements.txt associé au python-sdk de Top.gg par un compte nommé editor-syntax le 20 février 2024 a également été modifié dans le cadre de la campagne . Le problème a été résolu par les responsables du référentiel.
Il convient de noter que le compte « éditeur-syntaxe » est un responsable légitime de l’organisation Top.gg GitHub et dispose d’autorisations écrites sur les référentiels de Top.gg, indiquant que l’acteur malveillant a réussi à détourner le compte vérifié afin de commettre une validation malveillante. .
“Le compte GitHub de ‘editor-syntax’ a probablement été détourné via des cookies volés”, a noté Checkmarx.
“L’attaquant a accédé aux cookies de session du compte, ce qui lui a permis de contourner l’authentification et d’effectuer des activités malveillantes à l’aide de l’interface utilisateur de GitHub. Cette méthode de piratage de compte est particulièrement préoccupante, car elle n’exige pas que l’attaquant connaisse le mot de passe du compte.”
De plus, les acteurs malveillants à l’origine de la campagne auraient apporté plusieurs modifications aux référentiels malveillants en un seul commit, modifiant jusqu’à 52 fichiers en une seule instance dans le but de dissimuler les modifications apportées au fichier exigences.txt.
Le malware intégré dans le paquet contrefait colorama active une séquence d’infection en plusieurs étapes qui conduit à l’exécution de code Python à partir d’un serveur distant, qui, à son tour, est capable d’établir la persistance sur l’hôte via les modifications du registre Windows et de voler des données sur le Web. navigateurs, portefeuilles cryptographiques, jetons Discord et jetons de sessions liés à Instagram et Telegram.
“Le malware inclut un composant voleur de fichiers qui recherche des fichiers avec des mots-clés spécifiques dans leur nom ou leur extension”, ont indiqué les chercheurs. “Il cible les répertoires tels que Bureau, Téléchargements, Documents et Fichiers récents.”
Les données capturées sont finalement transférées aux attaquants via des services de partage de fichiers anonymes comme GoFile et Anonfiles. Alternativement, les données sont également envoyées à l’infrastructure de l’acteur malveillant à l’aide de requêtes HTTP, aux côtés de l’identifiant matériel ou de l’adresse IP pour suivre la machine victime.
“Cette campagne est un excellent exemple des tactiques sophistiquées employées par des acteurs malveillants pour distribuer des logiciels malveillants via des plateformes fiables telles que PyPI et GitHub”, a conclu le chercheur.
“Cet incident souligne l’importance de la vigilance lors de l’installation de packages et de référentiels, même à partir de sources fiables. Il est crucial de vérifier minutieusement les dépendances, de surveiller les activités réseau suspectes et de maintenir des pratiques de sécurité robustes pour atténuer le risque d’être victime de telles attaques.”