Nuovo Rilevamento di Attacco alla Supply Chain: Gli Hacker Applicano Molteplici Tattiche per Prendere di Mira gli Sviluppatori di GitHub Usando una Falsa Infrastruttura Python
Indice:
Gli hacker impiegano diversi TTP in una campagna multi-stadio di supply-chain del software rivolta agli utenti di GitHub, inclusi membri della comunità ampiamente riconosciuta di Top.gg, con oltre 170.000+ utenti che cadono preda delle operazioni offensive. Gli avversari hanno approfittato di un’infrastruttura Python falsa, causando la completa compromissione degli account GitHub, la pubblicazione di pacchetti Python dannosi e l’impiego di trucchi di ingegneria sociale.
Rilevamento di un attacco alla supply chain contro gli sviluppatori di GitHub
Gli attacchi alla supply chain rappresentano una sfida significativa nel panorama della cybersecurity odierno, presentando una minaccia complessa e sfuggente per le organizzazioni. Per identificare l’attività malevola legata all’ultimo attacco che sfrutta un’infrastruttura Python falsa, la piattaforma SOC Prime offre un set di regole di rilevamento rilevanti supportate da strumenti avanzati per la ricerca e l’ingegneria di rilevamento delle minacce.
Premi il Esplora Rilevamenti pulsante qui sotto e vai immediatamente a un pacchetto di regole Sigma che affronta l’ultimo attacco alla supply chain contro gli sviluppatori Python su GitHub. Tutte le regole sono compatibili con 28 soluzioni SIEM, EDR, XDR e Data Lake e mappate al framework MITRE ATT&CK per facilitare l’indagine sulle minacce. Inoltre, i rilevamenti sono accompagnati da ampi metadati, inclusi dettagliate informazioni di intelligence sulle minacce, tempistiche degli attacchi e riferimenti mediatici.
Analisi della campagna di attacco alla supply chain utilizzando un’infrastruttura Python falsa
I difensori hanno scoperto un nuovo e sofisticato attacco alla supply chain che colpisce gli sviluppatori di GitHub, inclusi i membri di una popolare comunità Top.gg. Secondo il rapporto recente di Checkmarx, sfruttare una vasta gamma di TTP avversari ha dato agli attori delle minacce il via libera per orchestrare intrusioni avanzate, eludere il rilevamento e ostacolare le misure difensive.
L’infrastruttura malevola ha coinvolto una risorsa fraudolenta che è stata mascherata come uno specchio di pacchetti Python utilizzando una tecnica avversaria convincente di typosquatting. Gli avversari hanno duplicato un’utilità ampiamente usata chiamata Colorama e vi hanno iniettato stringhe malevole. Gli hacker hanno nascosto un payload all’interno di quest’ultimo tramite tecniche di padding con spazi e hanno ospitato questa versione alterata sul loro dominio specchio falso di typosquatting, il che ha posto sfide crescenti per i difensori nel tracciare l’attività offensiva.
Oltre a generare repository malevoli tramite i propri account, gli avversari hanno dirottato account GitHub altamente reputati e hanno sfruttato le risorse associate a quegli account per spingere commit dannosi.
Notoriamente, per rimanere ulteriormente sotto il radar, gli hacker hanno adottato una strategia astuta quando hanno apportato modifiche a un set di repository armati. Hanno impegnato una serie di file, inclusi quelli contenenti link dannosi, insieme ad altri file legittimi allo stesso tempo. Questo ha permesso agli avversari di eludere il rilevamento poiché gli URL armati si mimetizzerebbero tra le dipendenze legittime.
Oltre a distribuire i campioni malevoli tramite repository offensivi di GitHub, gli hacker hanno anche sfruttato un pacchetto Python dannoso per ampliare la distribuzione di quelli di Colorama con la variante malevola. Gli avversari hanno approfittato di una tecnica sgradevole per nascondere il payload malevolo all’interno del codice che è stato progettato per ridurre al minimo la visibilità del codice dannoso durante una rapida revisione dei file sorgente del pacchetto.
Il malware utilizzato in questa campagna offensiva è in grado di sottrarre un’ampia gamma di dettagli sensibili dai browser più diffusi. Inoltre, si infiltra nel server Discord per cercare token che possono essere decriptati per accedere all’account della vittima, rubare dettagli finanziari, recuperare i dati della sessione Telegram ed esfiltrare file del computer.
A causa della maggiore sofisticazione di campagne offensive simili, come il più recente attacco multi-stadio che colpisce oltre 17.000 utenti e progettato per diffondere malware tramite piattaforme rispettate come PyPI e GitHub, i difensori cercano modi per elevare la vigilanza informatica contro tali attacchi complessi alla supply chain. Coordinare gli sforzi difensivi e lo scambio di informazioni guidato dai pari si dimostra altamente efficiente nella lotta continua contro le capacità avversarie. SOC Prime Platform per la difesa informatica collettiva basata su intelligence delle minacce globale, crowdsourcing, zero-trust e AI fornisce alle organizzazioni progressiste e agli utenti individuali una capacità a prova di futuro per difendersi proattivamente contro attacchi di qualsiasi scala e sofisticazione.
Â