Neue Erkennung von Supply Chain-Angriffen: Hacker setzen mehrere Taktiken ein, um GitHub-Entwickler mit einer gefälschten Python-Infrastruktur ins Visier zu nehmen
Inhaltsverzeichnis:
Hacker setzen verschiedene TTPs in einer mehrstufigen Software-Lieferketten-Kampagne ein, die sich gegen GitHub-Nutzer richtet, darunter Mitglieder der weithin anerkannten Top.gg-Community, wobei über 170.000+ Nutzer Opfer der offensiven Operationen wurden. Gegner nutzten eine gefälschte Python-Infrastruktur aus, was zur vollständigen Kompromittierung von GitHub-Konten, zur Veröffentlichung schädlicher Python-Pakete und zum Einsatz von Social-Engineering-Tricks führte.
Erkennung eines Lieferkettenangriffs gegen GitHub-Entwickler
Lieferkettenangriffe stellen eine erhebliche Herausforderung in der heutigen Cybersicherheitslandschaft dar und präsentieren eine komplexe und schwer fassbare Bedrohung für Organisationen. Um die bösartige Aktivität im Zusammenhang mit dem neuesten Angriff, der eine gefälschte Python-Infrastruktur nutzt, zu identifizieren, bietet die SOC Prime Platform eine Reihe relevanter Erkennungsregeln, unterstützt von fortschrittlichen Werkzeugen für Bedrohungsjagd und Erkennungstechnik.
Drücken Sie den Erkundungserkennung Knopf unten und tauchen Sie sofort in ein Sigma-Regelpaket ein, das sich mit dem neuesten Lieferkettenangriff gegen Python-Entwickler auf GitHub befasst. Alle Regeln sind kompatibel mit 28 SIEM-, EDR-, XDR- und Data-Lake-Lösungen und mit dem MITRE ATT&CK Rahmenwerk abgebildet, um die Bedrohungsuntersuchung zu optimieren. Zusätzlich werden die Erkennungen von umfangreichen Metadaten begleitet, einschließlich detaillierter Bedrohungsinformationen, Angriffschronologien und Medienreferenzen.
Analyse der Lieferkettenangriffskampagne unter Verwendung einer gefälschten Python-Infrastruktur
Verteidiger haben einen neuartigen, raffinierten Lieferkettenangriff aufgedeckt, der GitHub-Entwickler trifft, einschließlich der Mitglieder einer beliebten Top.gg-Community. Laut dem aktuellen Bericht von Checkmarx, ermöglichten es eine Vielzahl von TTPs von Gegnern den Bedrohungsakteuren, fortschrittliche Einbrüche zu orchestrieren, der Erkennung zu entgehen und Abwehrmaßnahmen zu erschweren.
Die bösartige Infrastruktur beinhaltete eine betrügerische Ressource, die als Python-Paket-Spiegel mit einer überzeugenden Typosquatting-Technik maskiert wurde. Gegner duplizierten ein weit verbreitetes Dienstprogramm namens Colorama und injizierten bösartige Strings darin. Hacker verbargen eine Nutzlast im letzteren mittels Leerzeichen-Polstertechniken und hosteten diese veränderte Version auf ihrem Typosquatting-Domain-Fake-Spiegel, was Verteidigern zunehmende Schwierigkeiten bereitete, die offensive Aktivität zu verfolgen.
Zusätzlich zur Generierung bösartiger Repos über ihre eigenen Konten kaperten Angreifer hoch angesehene GitHub-Konten und nutzten die mit diesen Konten verbundenen Ressourcen aus, um schädliche Commits zu pushen.
Bemerkenswert ist, dass Hacker eine knifflige Strategie verfolgten, um weiter unter dem Radar zu bleiben, wenn sie Änderungen an einer Reihe von weaponisierten Repos vornahmen. Sie übermittelten eine Vielzahl von Dateien, einschließlich solcher, die schädliche Links enthielten, zusammen mit anderen legitimen Dateien zur gleichen Zeit. Dies ermöglichte es Angreifern, der Erkennung zu entgehen, da die weaponisierten URLs sich unter den legitimen Abhängigkeiten tarnen würden.
Neben der Bereitstellung der bösartigen Beispiele über offensive GitHub-Repos nutzten Hacker auch ein schädliches Python-Paket, um die Verbreitung des Colorama mit dem bösartigen Stamm zu erweitern. Gegner bedienten sich einer unangenehmen Technik, um die bösartige Nutzlast innerhalb des Codes zu verbergen, der so gestaltet war, dass die Sichtbarkeit des schädlichen Codes bei einer kurzen Überprüfung der Quellcodedateien des Pakets minimiert werden sollte.
Die in dieser offensiven Kampagne eingesetzte Malware ist in der Lage, eine Vielzahl vertraulicher Details aus beliebten Browsern abzuziehen. Zusätzlich infiltriert sie den Discord-Server, um nach Token zu suchen, die entschlüsselt werden können, um auf das Konto des Opfers zuzugreifen, finanzielle Details zu stehlen, Telegram-Sitzungsdaten abzurufen und Computerdateien zu exfiltrieren.
Aufgrund der zunehmenden Raffinesse ähnlicher offensiver Kampagnen, wie der jüngsten mehrstufigen Attacke, die über 17.000 Benutzer betrifft und darauf ausgelegt ist, Malware über seriöse PyPI- und GitHub-Plattformen zu verbreiten, suchen Verteidiger nach Möglichkeiten, die Cyber-Wachsamkeit gegen derartige komplexe Lieferkettenangriffe zu erhöhen. Die Koordinierung von Abwehranstrengungen und der von der Peer-Community getriebene Informationsaustausch erweisen sich als höchst effektiv im fortlaufenden Kampf gegen die Fähigkeiten der Gegner. SOC Prime Plattform für kollektive Cyber-Verteidigung basierend auf globaler Bedrohungsintelligenz, Crowdsourcing, Zero-Trust und KI bietet fortschrittlichen Organisationen und Einzelanwendern die zukunftssichere Fähigkeit, sich proaktiv gegen Angriffe jeder Größe und Raffinesse zu verteidigen.
