En una sofisticada campaña de ataque, varios desarrolladores individuales y la cuenta de organización de GitHub asociada con Top.gg, un sitio de descubrimiento de bots de Discord, fueron afectados por adversarios no identificados. Checkmarx informó que los actores amenazantes utilizaron múltiples técnicas, incluyendo la toma de control de cuentas a través de cookies de navegador robadas, la contribución de código malicioso con confirmaciones verificadas, la configuración de un espejo personalizado de Python y la publicación de paquetes maliciosos en el registro de PyPI.
El robo de información sensible, incluyendo contraseñas, credenciales y otros datos valiosos, fue parte del ataque de la cadena de suministro de software. Un desarrollador egipcio llamado Mohammed Dief reveló previamente algunos aspectos de la campaña. Los investigadores de Checkmarx señalaron que los actores amenazantes tomaron Colorama, una herramienta muy popular, copiaron e insertaron código malicioso, ocultando la carga dañina dentro de Colorama usando espaciado de espacio y alojaron esta versión modificada en su falsa réplica de dominio de typosquatted.
Los paquetes maliciosos luego fueron propagados a través de repositorios de GitHub, y un repositorio que sigue activo hoy en día es github [.] com / whiteblackgang12 / Discord-Token-Generator, que incluye una referencia a la versión maliciosa de colorama alojada en «files.pypihosted [.]org». La cuenta verificada de un mantenedor legítimo de la organización de GitHub de Top.gg fue secuestrada para cometer una confirmación maliciosa, lo que indica que el actor de la amenaza logró secuestrar la cuenta.
Los actores de la amenaza realizaron múltiples cambios en los repositorios falsos en una sola confirmación, alterando hasta 52 archivos en una sola instancia. El malware incorporado en el paquete Colorama falso activa una secuencia de infección de múltiples etapas que conduce a la ejecución de código Python desde un servidor remoto. También es capaz de establecer la persistencia en el host a través de cambios en el Registro de Windows y de robar datos de los navegadores web, las carteras de criptomonedas, los tokens de Discord y los tokens de sesión relacionados con Instagram y Telegram.
Los datos capturados son transferidos a los atacantes a través de servicios de intercambio de archivos anónimos como GoFile y Anonfiles. Es crucial examinar a fondo las dependencias, supervisar la actividad de red sospechosa y mantener prácticas sólidas de seguridad para mitigar el riesgo de caer víctima de tales ataques. Este incidente destaca la importancia de la vigilancia al instalar paquetes y repositorios aunque provengan de fuentes confiables.
Vía The Hacker News
