Nova Detecção de Ataques à Cadeia de Suprimentos: Hackers Aplicam Múltiplas Táticas para Alvejar Desenvolvedores do GitHub Usando uma Infraestrutura Falsa de Python
Índice:
Hackers empregam diversas TTPs em uma campanha de cadeia de suprimentos de software em múltiplas etapas visando usuários do GitHub, incluindo membros da amplamente reconhecida comunidade Top.gg, com mais de 170.000 usuários caindo nas operações ofensivas. Os adversários aproveitaram uma infraestrutura Python falsa, causando o comprometimento total de contas do GitHub, a publicação de pacotes Python nocivos e o emprego de truques de engenharia social.
Detectando um Ataque na Cadeia de Suprimentos Contra Desenvolvedores do GitHub
Ataques na cadeia de suprimentos representam um desafio significativo no cenário de cibersegurança atual, apresentando uma ameaça complexa e evasiva para as organizações. Para identificar a atividade maliciosa ligada ao último ataque que utiliza uma infraestrutura Python falsa, a Plataforma SOC Prime oferece um conjunto de regras de detecção relevantes apoiadas por ferramentas avançadas para caça de ameaças e engenharia de detecção.
Pressione o Explorar Detecções botão abaixo e imediatamente acesse um pacote de regras Sigma que aborda o mais recente ataque na cadeia de suprimentos contra desenvolvedores Python no GitHub. Todas as regras são compatíveis com 28 soluções de SIEM, EDR, XDR e Data Lake e estão mapeadas para o framework MITRE ATT&CK para agilizar a investigação de ameaças. Além disso, as detecções são acompanhadas por metadados extensos, incluindo inteligência detalhada sobre ameaças, cronogramas de ataques e referências na mídia.
Análise de Campanha de Ataque na Cadeia de Suprimentos Usando uma Infraestrutura Python Falsa
Defensores descobriram um novo ataque sofisticado na cadeia de suprimentos que atinge desenvolvedores do GitHub, incluindo membros de uma popular comunidade Top.gg. De acordo com o relatório recente da Checkmarx, o uso de uma ampla gama de TTPs por adversários deu luz verde para orquestrar intrusões avançadas, evadir a detecção e impedir medidas defensivas.
A infraestrutura maliciosa envolvia um recurso fraudulento que foi disfarçado como um espelho de pacote Python usando uma técnica de adversário de typosquatting convincente. Os adversários duplicaram uma utilidade amplamente usada chamada Colorama e injetaram strings maliciosos nela. Hackers ocultaram um payload dentro deste último via técnicas de preenchimento por espaços e hospedaram esta versão alterada em seu domínio falso de typosquatting, o que apresentou desafios crescentes para os defensores rastrearem a atividade ofensiva.
Além de gerar repositórios maliciosos através de suas próprias contas, os adversários sequestraram contas de GitHub altamente reputadas e aproveitaram os recursos associados a essas contas para impulsionar commits nocivos.
Notavelmente, para permanecer ainda mais fora do radar, hackers adotaram uma estratégia engenhosa ao fazer ajustes em um conjunto de repositórios armados. Eles confirmaram uma gama de arquivos, incluindo aqueles que contêm links maliciosos, juntamente com outros arquivos legítimos ao mesmo tempo. Isso permitiu que os adversários escapassem da detecção, já que as URLs armadas se camuflavam entre as dependências legítimas.
Além de implantar as amostras maliciosas através de repositórios ofensivos do GitHub, hackers também aproveitaram um pacote Python nocivo para expandir a distribuição dos Colorama com a cepa maliciosa. Os adversários utilizaram uma técnica perversa para ocultar o payload malicioso dentro do código, que foi criado para minimizar a visibilidade do código nocivo durante uma breve revisão dos arquivos-fonte do pacote.
O malware usado nesta campanha ofensiva é capaz de sifonar uma ampla gama de detalhes sensíveis de navegadores populares. Além disso, infiltra-se no servidor Discord para procurar tokens que podem ser descriptografados para acessar a conta da vítima, roubar detalhes financeiros, recuperar dados de sessão do Telegram e exfiltrar arquivos do computador.
Devido ao aumento da sofisticação de campanhas ofensivas semelhantes, como o ataque mais recente em múltiplas etapas que afeta mais de 17.000 usuários e é projetado para espalhar malware através das plataformas de reputação PyPI e GitHub, os defensores estão buscando maneiras de elevar a vigilância cibernética contra tais ataques complexos na cadeia de suprimentos. A coordenação de esforços defensivos e a troca de informações dirigidas por pares provam ser altamente eficientes na luta contínua contra as capacidades de adversários. Plataforma SOC Prime para defesa cibernética coletiva baseada em inteligência global sobre ameaças, crowdsourcing, confiança zero e AI fornece a organizações progressistas e usuários individuais uma capacidade à prova de futuro para defender-se proativamente contra ataques de qualquer escala e sofisticação.