Un grupo no identificado de actores de amenazas orquestó un sofisticado ciberataque a la cadena de suministro contra miembros de la organización Top.gg GitHub, así como contra desarrolladores individuales, para inyectar código malicioso en el ecosistema de código.
Los atacantes se infiltraron en elementos de desarrollo de software confiables para comprometer a los desarrolladores. Secuestraron cuentas de GitHub con cookies robadas, contribuyeron con código malicioso a través de confirmaciones verificadas, establecieron una réplica de Python falsificada y liberaron paquetes contaminados en el registro de PyPi.
"Múltiples TTP ayudan a los atacantes a crear ataques sofisticados, evadir la detección, aumentar las posibilidades de una explotación exitosa y complicar los esfuerzos de defensa", dice Jossef Harush Kadouri, jefe de seguridad de la cadena de suministro de software en Checkmarx.
Los atacantes utilizaron una convincente técnica de typosquatting con un dominio espejo de Python falso parecido al oficial para engañar a los usuarios, según una publicación de blog de los investigadores de Checkmarx.
Al manipular paquetes populares de Python como Colorama, que utilizan más de 150 millones de usuarios para simplificar el proceso de formato de texto, los atacantes ocultaron código malicioso dentro de software aparentemente legítimo, ampliando su alcance más allá de los repositorios de GitHub.
También explotaron cuentas de GitHub Top.gg de alta reputación para insertar confirmaciones maliciosas y aumentar la credibilidad de sus acciones. Top.gg se compone de 170,000 miembros.
Robo de datos
En la etapa final del ataque, el malware utilizado por el grupo de amenazas roba información confidencial de la víctima. Puede apuntar a plataformas de usuarios populares, incluidos navegadores web como Opera, Chrome y Edge, apuntando a cookies, datos de autocompletar y credenciales. El malware también elimina cuentas de Discord y abusa de tokens descifrados para obtener acceso no autorizado a las cuentas de las víctimas en la plataforma.
El malware puede robar las billeteras de criptomonedas de las víctimas, los datos de la sesión de Telegram y la información del perfil de Instagram. En el último escenario, el atacante utiliza los tokens de sesión de la víctima para recuperar los detalles de su cuenta, empleando un registrador de teclas para capturar las pulsaciones de teclas, lo que podría comprometer contraseñas y mensajes personales.
Los datos robados de estos ataques individuales luego se filtran al servidor del atacante utilizando diversas técnicas, incluidos servicios anónimos de intercambio de archivos y solicitudes HTTP. Los atacantes utilizan identificadores únicos para rastrear a cada víctima.
Para evadir la detección, los atacantes emplearon intrincadas técnicas de ofuscación en su código, incluida la manipulación de espacios en blanco y nombres de variables engañosos. Establecieron mecanismos de persistencia, modificaron registros del sistema y ejecutaron operaciones de robo de datos en varias aplicaciones de software.
A pesar de estas tácticas sofisticadas, algunos miembros vigilantes de la comunidad Top.gg notaron las actividades maliciosas y las reportaron, lo que llevó a Cloudflare a eliminar los dominios abusados, según Checkmarx. Aun así, Kadouri de Checkmarx todavía considera la amenaza como "activa".
Cómo proteger a los desarrolladores
Los profesionales de la seguridad de TI deben monitorear y auditar periódicamente las contribuciones a los proyectos de código nuevo y centrarse en la educación y concientización de los desarrolladores sobre los riesgos de los ataques a la cadena de suministro.
"Creemos en dejar de lado la competencia y trabajar juntos para hacer que los ecosistemas de código abierto estén a salvo de los atacantes", dice Kadouri. "Compartir recursos es crucial para tener una ventaja sobre los actores que amenazan la cadena de suministro de software".
Según Kadouri, se espera que continúen los ataques a la cadena de suministro de software. "Creo que la evolución de los ataques a la cadena de suministro aumentará en los procesos de construcción, la IA y los grandes modelos de lenguaje".
Recientemente, los repositorios de modelos de aprendizaje automático como Hugging Face han ofrecido a los actores de amenazas oportunidades para inyectar código malicioso en entornos de desarrollo, similar a los repositorios de código abierto npm y PyPI.
Recientemente han surgido otros problemas de seguridad de la cadena de suministro de software que afectan las versiones en la nube de JetBrains. Plataforma de desarrollo de software TeamCity gerente así como actualizaciones de código malicioso se deslizó en cientos de repositorios de GitHub en septiembre.
Y los débiles controles de autenticación y acceso permitieron a los hacktivistas iraníes llevar a cabo una ataque a la cadena de suministro a principios de este mes en universidades israelíes a través de un proveedor de tecnología.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/application-security/github-developers-hit-in-complex-supply-chain-cyberattack
