Detección de un nuevo ataque a la cadena de suministro: hackers aplican múltiples tácticas para atacar a desarrolladores de GitHub usando una infraestructura Python falsa
Tabla de contenidos:
Los hackers emplean diversas TTP en una campaña de múltiples etapas de la cadena de suministro de software que apunta a los usuarios de GitHub, incluidos los miembros de la ampliamente reconocida comunidad Top.gg, con más de 170,000 usuarios cayendo presa de las operaciones ofensivas. Los adversarios aprovecharon una infraestructura falsa de Python, causando el compromiso total de cuentas de GitHub, la publicación de paquetes perjudiciales de Python y el empleo de trucos de ingeniería social.
Detección de un ataque a la cadena de suministro contra desarrolladores de GitHub
Los ataques a la cadena de suministro representan un desafío significativo en el paisaje actual de ciberseguridad, presentando una amenaza compleja y elusiva para las organizaciones. Para identificar la actividad maliciosa vinculada al último ataque que aprovecha una infraestructura falsa de Python, la Plataforma SOC Prime ofrece un conjunto de reglas de detección relevantes respaldadas por herramientas avanzadas para la caza de amenazas y la ingeniería de detección.
Presiona el Explorar Detecciones botón abajo e inmediatamente profundiza en un paquete de reglas Sigma que aborda el último ataque a la cadena de suministro contra desarrolladores de Python en GitHub. Todas las reglas son compatibles con 28 soluciones SIEM, EDR, XDR y Data Lake y están mapeadas al marco MITRE ATT&CK para agilizar la investigación de amenazas. Además, las detecciones van acompañadas de metadatos extensos, incluyendo inteligencia de amenazas detallada, cronologías de ataques y referencias de medios.
Análisis de la campaña de ataque a la cadena de suministro usando una infraestructura falsa de Python
Los defensores han descubierto un sofisticado y novedoso ataque a la cadena de suministro que afecta a desarrolladores de GitHub, incluidos los miembros de una popular comunidad de Top.gg. Según el informe reciente de Checkmarx, aprovechar una amplia gama de TTP de los adversarios dio a los actores de amenazas luz verde para orquestar intrusiones avanzadas, evadir la detección y obstaculizar las medidas defensivas.
La infraestructura maliciosa involucraba un recurso fraudulento que se disfrazó como un espejo de paquete de Python usando una técnica de adversario convincente de typosquatting. Los adversarios duplicaron una utilidad ampliamente utilizada llamada Colorama e inyectaron cadenas maliciosas en ella. Los hackers ocultaron una carga útil dentro de esta última mediante técnicas de espaciado y alojaron esta versión alterada en su espejo falso de dominio de typosquatting, lo que planteó desafíos crecientes para que los defensores rastrearan la actividad ofensiva.
Además de generar repositorios maliciosos a través de sus propias cuentas, los adversarios secuestraron cuentas de GitHub de alta reputación y aprovecharon los recursos asociados con esas cuentas para realizar commits dañinos.
Notablemente, para permanecer aún más bajo el radar, los hackers adoptaron una estrategia engañosa al hacer ajustes a un conjunto de repositorios armados. Cometieron una serie de archivos, incluidos aquellos que contenían enlaces dañinos, junto con otros archivos legítimos al mismo tiempo. Esto les permitió a los adversarios evadir la detección, ya que las URLs armadas se camuflarían entre las dependencias legítimas.
Además de desplegar las muestras maliciosas a través de repositorios ofensivos de GitHub, los hackers también aprovecharon un paquete perjudicial de Python para expandir la distribución de los de Colorama con la cepa maliciosa. Los adversarios tomaron ventaja de una técnica desagradable para ocultar la carga maliciosa dentro del código que fue diseñado para minimizar la visibilidad del código dañino durante una breve revisión de los archivos fuente del paquete.
El malware utilizado en esta campaña ofensiva es capaz de extraer una amplia gama de detalles sensibles de navegadores populares. Además, infiltra el servidor de Discord para buscar tokens que pueden ser descifrados para acceder a la cuenta de la víctima, robar detalles financieros, recuperar datos de sesión de Telegram y exfiltrar archivos del ordenador.
Debido a la creciente sofisticación de campañas ofensivas similares, como el reciente ataque de múltiples etapas que afectó a más de 17,000 usuarios y diseñado para propagar malware a través de las plataformas PyPI y GitHub de buena reputación, los defensores están buscando formas de elevar la vigilancia cibernética contra esos ataques complejos a la cadena de suministro. Coordinar esfuerzos defensivos y el intercambio de información impulsado por pares demuestra ser altamente eficiente en la lucha continua contra las capacidades de los adversarios. Plataforma SOC Prime para la defensa cibernética colectiva basada en inteligencia de amenazas global, crowdsourcing, confianza cero y IA, proporciona a las organizaciones progresivas y usuarios individuales una capacidad a prueba de futuro para defender proactivamente contra ataques de cualquier escala y sofisticación.