Новости Токены Discord нарасхват: взлом Top.gg обернулся кошмаром для разработчиков

NewsMaker

I'm just a script
Премиум
13,849
20
8 Ноя 2022
Сколько пользователей пострадало от компрометации цепочки поставок Discord?


kggz0h347b25ge0fg6v9vnki7hv0vd21.jpg


Популярный сервис Top.gg, помогающий пользователям находить серверы и боты для Discord , пострадал от атаки на цепочку поставок. Злоумышленники внедряли вредоносный код в пакеты Python , используемые разработчиками ботов. Целью атаки, по всей видимости, являлась кража конфиденциальных данных. Об атаке Для просмотра ссылки Войди или Зарегистрируйся специалисты Checkmarx в техническом отчете.

<h3> Атака шла по нескольким направлениям:

</h3>
  • Загруженные вредоносные пакеты в PyPI: С ноября 2022 года злоумышленники начали размещать на платформе PyPI вредоносные пакеты, маскировавшиеся под популярные инструменты с привлекательными описаниями.
  • Фальшивое зеркало пакетов Python: В начале 2024 года злоумышленники создали поддельное зеркало пакетов Python, имитирующее настоящее хранилище файлов пакетов PyPI. На фальшивом зеркале размещались зараженные версии легитимных пакетов, например, популярного «colorama».
  • Взлом аккаунта администратора Top.gg: В марте 2024 года хакерам удалось взломать учетную запись администратора платформы Top.gg, обладающую широкими правами доступа к репозиториям на GitHub. С помощью учетной записи киберпреступники добавили вредоносные коммиты в репозиторий Для просмотра ссылки Войди или Зарегистрируйся платформы Top.gg , а именно добавили зависимости от отравленной версии «colorama» и другие вредоносные репозитории, чтобы повысить их видимость.

<h3> Вредоносный код обладал широкими возможностями кражи данных:

</h3>
  • Данные браузеров: логины, пароли, история посещений, данные автозаполнения, cookie-файлы и данные кредитных карт из браузеров Opera, Chrome, Brave, Vivaldi, Яндекс и Edge.
  • Токены Discord: вредоносное ПО могло получить несанкционированный доступ к учетным записям Discord, похищая токены из соответствующих папок.
  • Криптовалютные кошельки: программа сканировала систему на наличие файлов криптокошельков и отправляла их на сервер злоумышленников.
  • Данные Telegram: вредоносное ПО пыталось похитить данные сессий Telegram для несанкционированного доступа к учетным записям и переписке.
  • Файлы пользователя: вредоносное ПО могло похищать файлы с рабочего стола, загрузок, документов и недавно открытых файлов на основе определенных ключевых слов.
  • Данные Instagram*: программа использовала похищенные токены сессий Instagram для получения информации об учетной записи через API Instagram.
  • Нажатия клавиш: вредоносное ПО записывало нажатия клавиш пользователя, потенциально раскрывая пароли и другую конфиденциальную информацию.

<h3> Похищенные данные отправлялись на сервер злоумышленников несколькими способами:

</h3>
  • Через HTTP-запросы с уникальными идентификаторами (аппаратный идентификатор, IP-адрес);
  • Через анонимные файлообменники (GoFile, Anonfiles).


0q7odioo49h1j7bvsgqe6bfwg464nlgk.png


Цепочка атаки

Точное количество пострадавших пользователей неизвестно. Однако эта атака в очередной раз подчеркивает важность проверки безопасности используемых компонентов при разработке программного обеспечения.
 
Источник новости
www.securitylab.ru

Похожие темы