新たなサプライチェーン攻撃の検出:ハッカーが偽のPythonインフラを使用してGitHub開発者を狙うために複数の戦術を適用

[post-views]
3月 27, 2024 · 6 分で読めます
新たなサプライチェーン攻撃の検出:ハッカーが偽のPythonインフラを使用してGitHub開発者を狙うために複数の戦術を適用

ハッカーは、マルチステージソフトウェアサプライチェーンキャンペーンで、多様なTTPを利用してGitHubユーザー、特に著名なTop.ggコミュニティのメンバーを標的にします。この攻撃により17万人以上のユーザーが侵害されました。敵対者は偽のPythonインフラを使い、GitHubアカウントの完全な妥協を引き起こし、有害なPythonパックの公開やソーシャルエンジニアリングのトリックを使用しました。

GitHub開発者に対するサプライチェーン攻撃の検出

サプライチェーン攻撃は、現代のサイバーセキュリティ環境において重要な挑戦をもたらし、組織にとって複雑で捉えにくい脅威です。最新の攻撃に関連する悪意のある活動を特定するために、SOC Prime Platform は、脅威ハンティングや検出エンジニアリングに対応する高度なツールでバックアップされた関連検出ルールのセットを提供します。

押す 検出を探る 以下のボタンを押し、GitHubでのPython開発者に対する最新のサプライチェーン攻撃に対応するSigmaルールパックをすぐに掘り下げます。すべてのルールは、28のSIEM、EDR、XDR、およびデータレイクソリューションに対応しており、それらは MITRE ATT&CKフレームワーク にマッピングされており、脅威の調査を合理化します。さらに、検出には、詳細な脅威インテリジェンス、攻撃タイムライン、メディアの参照を含む広範なメタデータが付随しています。

検出を探る

偽のPythonインフラを使用したサプライチェーン攻撃キャンペーンの分析

防御側は、著名なTop.ggコミュニティのメンバーを含むGitHub開発者を狙う新しい高度なサプライチェーン攻撃を発見しました。によると Checkmarxの最近のレポート、広範な敵対者TTPを利用することで、脅威アクターは高度な侵入を率いて検出を回避し、防御策を妨げる許可を得ました。

悪意のあるインフラは、信用できるPythonパッケージミラーになりすました偽のリソースを含んでいました。敵対者は、“Colorama”と呼ばれる広く使用されているユーティリティを複製し、そこに悪意のある文字列を挿入しました。ハッカーは後者にスペースパディング技術を介してペイロードを隠し、この改ざんされたバージョンを、自分たちのタイプスクワッティングドメインの偽のミラーにホストして、防御者に攻撃活動を追跡する上で増大する課題をもたらしました。

自分のアカウントを通じて悪意のあるリポジトリを生成することに加えて、敵対者は非常に信頼されたGitHubアカウントをハイジャックし、そのアカウントに関連するリソースを利用して有害なコミットをプッシュしました。

特に、レーダーの下にとどまるために、ハッカーは武器化されたリポジトリのセットに変更を加える際にトリッキーな戦略を採用しました。彼らは有害なリンクを含むファイルを、他の合法なファイルと共に一度にコミットしました。これにより、武器化されたURLが合法な依存関係の中にカモフラージュされることで、敵対者が検出を回避することが可能になりました。

攻撃的なGitHubリポジトリを通じて悪意のあるサンプルを展開する他にも、ハッカーは有害なPythonパックを利用して、悪意のある株を伴うColoramaパックの配布を拡大しました。敵対者は、パッケージのソースファイルを短期間レビューする際に有害なコードの可視性を最小限に抑えるように設計されたコード内に悪意のあるペイロードを隠すための厄介な技術を利用しました。

この攻撃キャンペーンで使用されるマルウェアは、人気のあるブラウザからの広範な機密情報をサイフォンする能力があります。さらに、Discordサーバーに侵入して、被害者のアカウントにアクセスできるようにトークンを復号化し、金融詳細を盗み、Telegramのセッションデータを取得し、コンピュータファイルを持ち去ることができます。

17,000人以上のユーザーに影響を与え、PyPIとGitHubの信頼性の高いプラットフォームを通じてマルウェアを拡散させる最近のマルチステージ攻撃のような、類似の攻撃キャンペーンの洗練度の向上により、防御者はこのような複雑なサプライチェーン攻撃に対するサイバー警戒を高める方法を模索しています。防御努力の協調とピア主導の情報交換は、敵対者の能力に対抗する現在進行中の戦いにおいて非常に効果的であることが証明されています。 集団的サイバー防御のためのSOC Prime Platform は、グローバルな脅威インテリジェンス、クラウドソーシング、ゼロトラスト、およびAIに基づいて、あらゆる規模や洗練度の攻撃に対して積極的に防御するための将来性のある能力を進歩的な組織や個人ユーザーに提供します。

 

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事