Bbabo NET

Наука & Технологии Новини

Хакери въведоха зловреден софтуер в най-голямата бот платформа Discord

Бот общността Top.gg Discord, с над 170 000 членове, беше засегната от атака по веригата на доставки, целяща да ги зарази със зловреден софтуер. Този софтуер краде поверителна информация.

През годините нападателят е използвал няколко тактики, методи и процедури, включително отвличане на акаунти в GitHub, разпространение на злонамерени пакети на Python, използване на фалшива инфраструктура на Python и социално инженерство.

Top.gg е популярна платформа за търсене и откриване на Discord сървъри, ботове и други социални инструменти за игри.

Кампанията е идентифицирана от изследователи на Checkmarx, които отбелязват, че основната й цел е най-вероятно да открадне данни и да ги монетизира.

Според изследователите дейностите на нападателите са започнали още през ноември 2022 г., когато за първи път са качили злонамерени пакети в Python Package Index (PyPI). Те имитираха популярни инструменти с отворен код. Последният пакет, който беше качен, беше наречен "yocolor" през март тази година. В началото на 2024 г. нападателите инсталираха фалшив огледален пакет на Python на „files[.]pypihosted[.]org“, за да имитират пакета „files.pythonhosted.org“, където се съхраняват файлове с артефакти на пакет PyPI. Това фалшиво огледало е използвано за хостване на злонамерени версии на законни пакети, включително „colorama“.

Когато хакери компрометират системи или превземат привилегировани акаунти в GitHub, те променят файловете на проекта, за да сочат към зависимости, хоствани на фалшивото огледало.

Checkmarx цитира пример, който се случи през март, когато нападателите хакнаха акаунта на поддържащия top.gg „редактор-синтаксис“. Те са използвали акаунта, за да правят злонамерени ангажименти към хранилището на python-sdk.

Изпълнението на злонамерен код на Python води до изтегляне на капкомер от отдалечен сървър, който извлича полезния товар в криптирана форма. Зловреден софтуер прави промени в системния регистър на Windows.

Позволява:

крадете данни от браузърите Opera, Chrome, Brave, Vivaldi, Yandex и Edge, включително бисквитки, автоматично попълване, хронология на сърфиране, отметки, информация за кредитна карта и идентификационни данни за вход;

намиране на директории, свързани с Discord, за дешифриране и кражба на токени с цел получаване на неоторизиран достъп до акаунти;

крадат жетони от различни портфейли с криптовалута чрез търсене и качване на файлове в ZIP формат на сървъра на нападателя;

кражба на данни от сесии на Telegram за неоторизиран достъп до акаунти;

крадете файлове на вашия работен плот, изтегляния, документи и скорошни файлове въз основа на определени ключови думи;

използвате откраднати токени за сесия на Instagram**, за да получите данни за акаунта чрез API на социалната мрежа;

прихващат и съхраняват кликвания, като потенциално разкриват пароли и чувствителна информация.

Зловреден софтуер използва услуга за споделяне на анонимни файлове (напр. GoFile, Anonfiles) и HTTP заявки с уникални идентификатори, за да проследява и качва откраднати данни на сървъра на атакуващия.

Броят на потребителите, засегнати от тази кампания, не е известен.

Meta Platforms*, както и нейните социални мрежи Facebook** и Instagram**:

* - призната за екстремистка организация, дейността й е забранена в Русия;

** - забранен в Русия.

Хакери въведоха зловреден софтуер в най-голямата бот платформа Discord