Nouvelle Détection d’Attaque de la Chaîne d’Approvisionnement : Les Hackers Utilisent Plusieurs Tactiques pour Cibler les Développeurs GitHub Avec une Infrastructure Python Fausse
Table des matières :
Les hackers utilisent diverses TTPs dans une campagne à plusieurs étapes de la chaîne d’approvisionnement logicielle visant les utilisateurs de GitHub, y compris les membres de la communauté largement reconnue Top.gg, avec plus de 170 000+ utilisateurs tombant victimes des opérations offensives. Les adversaires ont profité d’une infrastructure Python factice, causant le compromis total des comptes GitHub, la publication de paquets Python nuisibles, et l’utilisation de tactiques d’ingénierie sociale.
Détection d’une attaque de la chaîne d’approvisionnement contre les développeurs GitHub
Les attaques de la chaîne d’approvisionnement représentent un défi important dans le paysage actuel de la cybersécurité, présentant une menace complexe et insaisissable pour les organisations. Pour identifier l’activité malveillante liée à la dernière attaque utilisant une infrastructure Python factice, la plateforme SOC Prime offre un ensemble de règles de détection pertinentes soutenues par des outils avancés pour la chasse aux menaces et l’ingénierie de détection.
Cliquez sur le Explorer les détections bouton ci-dessous et plongez immédiatement dans un pack de règles Sigma abordant la dernière attaque de la chaîne d’approvisionnement contre les développeurs Python sur GitHub. Toutes les règles sont compatibles avec 28 solutions SIEM, EDR, XDR, et Data Lake et sont cartographiées au cadre MITRE ATT&CK pour rationaliser l’enquête sur la menace. De plus, les détections sont accompagnées d’une métadonnée étendue, y compris des renseignements détaillés sur les menaces, des chronologies des attaques, et des références médias.
Analyse de campagne de l’attaque de la chaîne d’approvisionnement utilisant une infrastructure Python factice
Les défenseurs ont découvert une nouvelle attaque sophistiquée de la chaîne d’approvisionnement qui cible les développeurs GitHub, y compris les membres d’une communauté populaire Top.gg. Selon le rapport récent par Checkmarx, l’utilisation d’un large éventail de TTPs adversaires a donné le feu vert aux acteurs malveillants pour orchestrer des intrusions avancées, échapper à la détection, et entraver les mesures défensives.
L’infrastructure malveillante impliquait une ressource frauduleuse déguisée en miroir de paquet Python utilisant une technique d’adversaire de typosquattage convaincante. Les adversaires ont dupliqué un utilitaire largement utilisé appelé Colorama et injecté des chaînes malveillantes dedans. Les hackers ont caché une charge utile dans ce dernier via des techniques de padding par espace et hébergé cette version modifiée sur leur faux miroir de domaine de typosquattage, ce qui posait des défis croissants pour que les défenseurs suivent l’activité offensive.
En plus de générer des dépôts malveillants via leurs propres comptes, les adversaires ont détourné des comptes GitHub très réputés et ont profité des ressources associées à ces comptes pour pousser des commits nuisibles.
Notamment, pour rester encore plus invisibles, les hackers ont adopté une stratégie astucieuse lors de la modification d’un ensemble de dépôts armés. Ils ont commis une série de fichiers, y compris ceux contenant des liens nuisibles, aux côtés d’autres fichiers légitimes en même temps. Cela a permis aux adversaires d’échapper à la détection car les URL armées se camoufleraient parmi les dépendances légitimes.
Outre le déploiement des échantillons malveillants via des dépôts offensifs de GitHub, les hackers ont également utilisé un paquet Python nuisible pour étendre la distribution de ceux de Colorama avec la souche malveillante. Les adversaires ont profité d’une technique vicieuse pour dissimuler la charge malveillante dans le code qui a été conçu pour minimiser la visibilité du code nuisible lors d’un brève examen des fichiers sources du paquet.
Le malware utilisé dans cette campagne offensive est capable de siphonner une large gamme de détails sensibles depuis des navigateurs populaires. De plus, il infiltre le serveur Discord pour rechercher des jetons qui peuvent être décryptés pour accéder au compte de la victime, voler des détails financiers, récupérer les données de session Telegram, et exfiltrer des fichiers informatiques.
En raison de la sophistication accrue de campagnes offensives similaires, comme la plus récente attaque multi-étapes affectant plus de 17 000 utilisateurs et conçue pour propager des malwares via des plateformes PyPI et GitHub réputées, les défenseurs recherchent des moyens pour élever la vigilance cybernétique contre ces attaques complexes de chaînes d’approvisionnement. La coordination des efforts défensifs et l’échange d’informations entre pairs s’avèrent très efficaces dans la lutte continue contre les capacités adverses. Plateforme SOC Prime pour la défense cyber collective basée sur des renseignements sur les menaces mondiales, le crowdsourcing, le zéro-confiance, et l’IA fournit aux organisations progressistes et aux utilisateurs individuels une capacité à l’épreuve du futur pour se défendre proactivement contre des attaques de toute ampleur et sophistication.
