Бот общността Top.gg Discord, с над 170 000 членове, беше засегната от атака по веригата на доставки, целяща да ги зарази със зловреден софтуер. Този софтуер краде поверителна информация.
През годините нападателят е използвал няколко тактики, методи и процедури, включително отвличане на акаунти в GitHub, разпространение на злонамерени пакети на Python, използване на фалшива инфраструктура на Python и социално инженерство.
Top.gg е популярна платформа за търсене и откриване на Discord сървъри, ботове и други социални инструменти за игри.
Кампанията е идентифицирана от изследователи на Checkmarx, които отбелязват, че основната й цел е най-вероятно да открадне данни и да ги монетизира.
Според изследователите дейностите на нападателите са започнали още през ноември 2022 г., когато за първи път са качили злонамерени пакети в Python Package Index (PyPI). Те имитираха популярни инструменти с отворен код. Последният пакет, който беше качен, беше наречен "yocolor" през март тази година. В началото на 2024 г. нападателите инсталираха фалшив огледален пакет на Python на „files[.]pypihosted[.]org“, за да имитират пакета „files.pythonhosted.org“, където се съхраняват файлове с артефакти на пакет PyPI. Това фалшиво огледало е използвано за хостване на злонамерени версии на законни пакети, включително „colorama“.
Когато хакери компрометират системи или превземат привилегировани акаунти в GitHub, те променят файловете на проекта, за да сочат към зависимости, хоствани на фалшивото огледало.
Checkmarx цитира пример, който се случи през март, когато нападателите хакнаха акаунта на поддържащия top.gg „редактор-синтаксис“. Те са използвали акаунта, за да правят злонамерени ангажименти към хранилището на python-sdk.
Изпълнението на злонамерен код на Python води до изтегляне на капкомер от отдалечен сървър, който извлича полезния товар в криптирана форма. Зловреден софтуер прави промени в системния регистър на Windows.
Позволява:
крадете данни от браузърите Opera, Chrome, Brave, Vivaldi, Yandex и Edge, включително бисквитки, автоматично попълване, хронология на сърфиране, отметки, информация за кредитна карта и идентификационни данни за вход;
намиране на директории, свързани с Discord, за дешифриране и кражба на токени с цел получаване на неоторизиран достъп до акаунти;
крадат жетони от различни портфейли с криптовалута чрез търсене и качване на файлове в ZIP формат на сървъра на нападателя;
кражба на данни от сесии на Telegram за неоторизиран достъп до акаунти;
крадете файлове на вашия работен плот, изтегляния, документи и скорошни файлове въз основа на определени ключови думи;
използвате откраднати токени за сесия на Instagram**, за да получите данни за акаунта чрез API на социалната мрежа;
прихващат и съхраняват кликвания, като потенциално разкриват пароли и чувствителна информация.
Зловреден софтуер използва услуга за споделяне на анонимни файлове (напр. GoFile, Anonfiles) и HTTP заявки с уникални идентификатори, за да проследява и качва откраднати данни на сървъра на атакуващия.
Броят на потребителите, засегнати от тази кампания, не е известен.
Meta Platforms*, както и нейните социални мрежи Facebook** и Instagram**:
* - призната за екстремистка организация, дейността й е забранена в Русия;
** - забранен в Русия.
bbabo.Net