黑客劫持 GitHub 账户发动供应链攻击

最新推荐文章于 2024-04-27 17:24:21 发布
最新推荐文章于 2024-04-27 17:24:21 发布
阅读量84 收藏
点赞数
文章标签: github
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519162&idx=2&sn=16d74fe3b455f7ff9afe305a4f083774&chksm=eb8fbd4995cc4f0f8f154fc192518cbf75003aee450ad0f51aeebd0aabcb33100f925eca2f8b&scene=126&sessionid=0
版权

c010f53f3a59845ef1f80e19ad8164a8.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

身份不明的人员发动复杂的攻击活动,影响多名个人开发者以及与 Discord 机器人发现网站相关联的 GitHub 组织机构账户。

Checkmarx 公司在一份技术报告中提到,“威胁行动者们在这起攻击活动中使用了多种 TTPs,包括通过被盗的浏览器 cookie 劫持账户、通过已验证的提交分发恶意代码、设置自定义 Python 镜像,并向 PyPI 注册表发布恶意包。”

据称,这起供应链攻击易导致敏感信息被盗,包括密码、凭据和其它有价值数据。本月初,埃及的一名开发人员 Mohammed Dief 已披露部分攻击详情。该攻击主要设置对官方 PyPI 域 “files.pythonhosted[.]org” 的typosquat “filespypihosted[.]org”,并借此托管著名包如 colorama 的木马化版本。目前该域名已被拿下。

报告提到,“威胁行动者拿走 Colorama(每月下载量超过1.5亿次的热门工具),复制它并插入恶意代码。之后他们使用空格填充的方式在 Colorama 中披露有害的 payload,并在被typosquat的域名虚假镜像中托管这个被修改的版本。”之后这些恶意包通过 GitHub 仓库如 github[.]com/maleduque/Valorant-Checker and github[.]com/Fronse/League-of-Legends-Checker 进行宣传,而该仓库中包含 requirements.txt 文件,后者是由 pip 包管理器安装的 Python 包清单。

2024年2月20日与Top.gg 的 python-sdk 相关联的 requirements.txt文件被名为 editor-syntax 的账户修改。该问题已由该数据库维护人员解决。值得注意的是,“editor-syntax”账户是 Top.gg Github的合法维护人员,对 Top.gg 的仓库拥有写权限,这表明威胁行动者设法劫持该已验证的账户以进行恶意提交。研究人员认为该账户可能是“通过被盗cookie进行劫持的”。研究人员提到,“攻击者获得对该账号会话 cookie 的访问权限,使其能够通过 GitHub UI绕过认证并执行恶意活动。这种账户接管方法尤令人担忧,因为攻击者无需知道账号的密码。”

另外,据称攻击者在单个提交中向恶意仓库推送了多次修改,提醒称一个案例中多达52份文件隐藏对 requirements.txt 文件的修改。

这起攻击活动据称始于2022年11月,当时攻击者向 PyPI 仓库上传了四个假冒包。最终其它10个包也进入 PyPI 中,就在2024年3月5日,”yocolor” 进入。

“Yocolor”也旨在宣传遭恶意软件感染的 “colorama” 包,说明威胁行动者在利用开源包生态系统中的信任,通过将其列为该项目 requirements.txt 文件中的依赖,安装恶意库。内嵌在伪造的colorama 包中的恶意软件激活多阶段感染序列,导致 Python 代码从远程服务器中执行,从而通过 Windows Registry 变更在主机上建立持久性并从web浏览器中窃取与 Instagram 和 Telegram 相关的数据、密币钱包、Discord 令牌和会话令牌。

研究人员提到,“该恶意软件中包含一个文件窃取器组件,查找名称或扩展中的某些特定关键字。它瞄准多个目录如 Desktop、Downloads、Documents 和 Recent Files。”

被捕获的数据最终通过匿名文件分享服务如 GoFile 和 Anonfiles 传输给攻击者。另外该数据还通过 HTTP 请求以及硬件标识符或IP地址发送到威胁行动者的基础设施以追踪受害者机器。研究人员提到,“这起活动说明恶意人员通过可信平台如 PyPI 和 GitHub 分发恶意软件所用的复杂技术。这起事件强调了即使从可信来源安装包和仓库时也要保持警醒的重要性。全面审查依赖、监控可疑网络活动以及维护健壮安全实践对于防御此类攻击至关重要。”

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

软件供应链投毒 — NPM 恶意组件分析(二)

日本指责朝鲜发动PyPI供应链攻击

JFrog Artifactory 多个漏洞威胁软件供应链安全

速修复!TeamCity中存在两个严重的漏洞,可触发供应链攻击

谷歌修复代码测试工具Bazel 中的严重供应链漏洞

原文链接

https://thehackernews.com/2024/03/hackers-hijack-github-accounts-in.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

fdb78e4178448c5a55f6fc0e9fb4399d.jpeg

5a5e622de279a101b7d973e58997b8bd.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   6db8bfa557c0e4a364bcc72cd6c0384a.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
黑客黑客GitHub Pages的Jekyll主题
02-04
黑客主题 黑客GitHub Pages的Jekyll主题。 您可以,甚至也可以。用法要使用黑客主题: 将以下内容添加到您网站的_config.yml : theme : jekyll-theme-hacker (可选)如果您想在计算机上预览站点,请将以下内容...
GitHub账户重命名可引发供应链攻击
smellycat000的专栏
10-28 355
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危...
以我国为目标的网络攻击中发现 DinodasRAT的Linux版本;黑客伪装成印度空军进行钓鱼攻击劫持GitHub进行软件供应链攻击Top.gg | 安全周报 0329
weixin_55163056的博客
03-29 1678
中国为目标的网络攻击中发现 DinodasRAT的Linux版本;黑客伪装成印度空军进行钓鱼攻击劫持GitHub进行软件供应链攻击Top.gg
黑客攻陷Okta发动供应链攻击,影响130多家组织机构
smellycat000的专栏
08-26 451
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长...
微软:Lazarus 黑客组织发动供应链攻击,攻陷 CyberLink 公司
smellycat000的专栏
11-23 83
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长...
2018年GitHub账户注册图文教程(github从注册到使用)
10-18
Github是最流行的代码库,里面存储着丰富的优秀的开源代码。不仅如此,作为一款免费的代码存储利器也是流的一逼,支持各种编程语言,代码显示效果堪称完美,可以随时随地查看自己记录的笔记
供应链管理系统SCM
04-23
SCM供应链管理系统源码加文档,含全套源码,附有大量文档说明,界面布局合理,下载即用,可做毕业设计或参考学习资料
区块链供应链金融实战1
01-07
金链盟区块链是我国自主知识产权的开源区块链系统,主要应用于金融领域,在联盟链领域,在性能和功能方面都处于领先地位。 安装 为项目创建一个文件夹,进入该文件夹,下载安装文件: wget ...
Github账户多项目管理配置教程linux操作系统-电脑资料.doc
12-20
Github账户多项目管理配置教程linux操作系统-电脑资料.doc
使用 Python 发送带附件的电子邮件教程
效率工具,软件测试,实用干货,资源分享,这里全是黑科技。
04-25 310
在本教程中,我们将学习如何使用 Python 中的smtplib和email库发送带有附件的电子邮件。我们将通过一个简单的示例来演示如何编写代码来完成这个任务。
远程仓库——GitHub
????
04-27 744
使用GitHub作为远程的代码托管平台。
添加github SSH Key
m0_69594200的博客
04-22 204
使用 SSH 协议,您可以连接远程服务器和服务并对其进行身份验证。使用 SSH 密钥,您可以连接到 GitHub,而无需在每次访问时提供您的用户名和个人访问令牌。您还可以使用 SSH 密钥来签署提交。添加 SSH keys。
什么是 GitHub Wiki 以及如何使用它?
晓风晓浪
04-20 1240
Wiki 的侧边栏、首页和页脚的自定义选项有限。但是你可以使用 HTML、CSS 和 Markdown 来扩展这些选项。我们已经讨论了首页,现在我们将讨论页脚和侧边栏。页脚和侧边栏显示或包含诸如联系信息、导航链接、社交媒体链接等有用的链接。页脚显示在站点的每个页面底部,侧边栏通常是网页左侧或右侧的垂直列。两者都在 wiki 的所有页面上可见。有两种方法可以在 GitHub wiki 中创建侧边栏。使用 GitHub UI在你的 IDE 中本地创建。
GitHub的使用
十一、的博客
04-19 1662
Git 是一个分布式版本控制系统,可以帮助您和您的团队有效协作,同时保证项目历史记录的安全Emacs全称为Editor MACroS(宏编辑器),最初由Richard Stallman于1975年在MIT与Guy Steele共同开发。它不仅是一个文本编辑器,还具有许多其他功能,使其更像是一个集成开发环境(IDE)多功能性:除了基本的文本编辑功能,Emacs还提供了大量的编程工具,如代码编译、调试、版本控制等。它还支持多种编程语言和环境。
GitHub】主页简历优化
定期分享我的发现和想法,感谢你的陪伴和支持
04-17 2615
最近刚报名了开源奖励计划,就看到了fanstuck大佬的博文([如何一键展示全平台信息?Python手把手教你搭建自己的自媒体展示平台],然后又顺着找到了小孙同学的介绍([Github 首页美化教程(一):打造个性化的GitHub首页]。 那么在更新github前,先美化一下首页介绍吧~
Github 2024-04-27 开源项目日报 Top9
老孙正经胡说
04-27 490
根据Github Trendings的统计,今日(2024-04-27统计)共有9个项目上榜。
快速了解 git 和 github 是什么,30 分钟速通版
最新发布
Nesb01t is here.
04-27 634
多做项目上手操作,无他唯手熟尔本文由博客一文多发平台OpenWrite发布!
上传jar到github仓库,作为maven依赖存储库
qq_41692931的博客
04-27 575
利用github搭建个人maven仓库
github账户命名规则
09-04
github账户的命名规则没有具体的限制,用户可以根据自己的喜好和需要来选择账户名。通常,github账户名可以包含字母、数字和破折号(-),长度限制为1到39个字符。账户名不区分大小写,但在显示时会保留原始的大小写...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值