Hackeo a la infraestructura de python

MÁS DE 170.000 USUARIOS COMPROMETIDOS

El equipo de Checkmarx Research ha descubierto una sofisticada campaña de ataque que aprovechó una infraestructura Python falsa para apuntar a la cadena de suministro de software, lo que afectó a más de 170.000 usuarios, incluida la organización Top.gg GitHub y varios desarrolladores individuales. Este ataque multifacético involucró técnicas como la apropiación de cuentas mediante cookies de navegador robadas, contribuciones de código malicioso verificadas, el establecimiento de un espejo Python personalizado y la difusión de paquetes dañinos a través del registro PyPi .

  • Asalto silencioso a la cadena de suministro de software : los atacantes orquestaron un asalto silencioso a la cadena de suministro de software, empleando múltiples tácticas para robar información confidencial de víctimas desprevenidas. Esto incluyó la creación de herramientas maliciosas de código abierto con descripciones atractivas para atraer a las víctimas, la mayoría de las cuales probablemente fueron redirigidas desde motores de búsqueda.
  • El uso de un espejo de Python falso : una piedra angular de esta campaña fue la distribución de una dependencia maliciosa a través de una infraestructura de Python falsificada, que estaba vinculada a proyectos populares en GitHub y paquetes legítimos de Python. Los atacantes no sólo secuestraron cuentas de GitHub para difundir paquetes maliciosos de Python, sino que también realizaron ingeniería social para ampliar su alcance.
  • Una carga útil evasiva de varias etapas : el ataque presentó una carga útil compleja de varias etapas diseñada para recolectar datos valiosos, como contraseñas y credenciales, de sistemas infectados antes de filtrar estos datos a la infraestructura de los atacantes. En particular, se implementó un espejo falso de paquetes Python, distribuyendo una versión envenenada del ampliamente utilizado paquete “colorama”.

Una víctima notable compartió su experiencia al encontrar actividad sospechosa relacionada con el paquete “colorama”, lo que finalmente le llevó a darse cuenta de que había sido pirateado. Esta cuenta subraya el sigilo y el engaño empleados en la campaña, en la que los atacantes aprovecharon réplicas falsas de Python y typosquatting para engañar a los usuarios y difundir malware a través de repositorios maliciosos de GitHub.

TÉCNICA DEL ATAQUE

La réplica falsa de Python, que aparece bajo el dominio “files[.]pypihosted[.]org”, imitaba la réplica del paquete oficial de Python y jugó un papel crucial en el éxito del ataque. Al albergar una versión manipulada de “colorama” cargada de código malicioso y utilizar identidades de GitHub robadas para realizar cambios en repositorios acreditados, los atacantes demostraron una comprensión sofisticada de las vulnerabilidades de la cadena de suministro de software.

Etiquetas: