黑客劫持 GitHub 账户发动供应链攻击

Checkmarx 公司在一份技术报告中提到，“威胁行动者们在这起攻击活动中使用了多种 TTPs，包括通过被盗的浏览器 cookie 劫持账户、通过已验证的提交分发恶意代码、设置自定义 Python 镜像，并向 PyPI 注册表发布恶意包。”

据称，这起供应链攻击易导致敏感信息被盗，包括密码、凭据和其它有价值数据。本月初，埃及的一名开发人员 Mohammed Dief 已披露部分攻击详情。该攻击主要设置对官方 PyPI 域 “files.pythonhosted[.]org” 的typosquat “filespypihosted[.]org”，并借此托管著名包如 colorama 的木马化版本。目前该域名已被拿下。

报告提到，“威胁行动者拿走 Colorama（每月下载量超过1.5亿次的热门工具），复制它并插入恶意代码。之后他们使用空格填充的方式在 Colorama 中披露有害的 payload，并在被typosquat的域名虚假镜像中托管这个被修改的版本。”之后这些恶意包通过 GitHub 仓库如 github[.]com/maleduque/Valorant-Checker and github[.]com/Fronse/League-of-Legends-Checker 进行宣传，而该仓库中包含 requirements.txt 文件，后者是由 pip 包管理器安装的 Python 包清单。

2024年2月20日与Top.gg 的 python-sdk 相关联的 requirements.txt文件被名为 editor-syntax 的账户修改。该问题已由该数据库维护人员解决。值得注意的是，“editor-syntax”账户是 Top.gg Github的合法维护人员，对 Top.gg 的仓库拥有写权限，这表明威胁行动者设法劫持该已验证的账户以进行恶意提交。研究人员认为该账户可能是“通过被盗cookie进行劫持的”。研究人员提到，“攻击者获得对该账号会话 cookie 的访问权限，使其能够通过 GitHub UI绕过认证并执行恶意活动。这种账户接管方法尤令人担忧，因为攻击者无需知道账号的密码。”

另外，据称攻击者在单个提交中向恶意仓库推送了多次修改，提醒称一个案例中多达52份文件隐藏对 requirements.txt 文件的修改。

这起攻击活动据称始于2022年11月，当时攻击者向 PyPI 仓库上传了四个假冒包。最终其它10个包也进入 PyPI 中，就在2024年3月5日，”yocolor” 进入。

“Yocolor”也旨在宣传遭恶意软件感染的 “colorama” 包，说明威胁行动者在利用开源包生态系统中的信任，通过将其列为该项目 requirements.txt 文件中的依赖，安装恶意库。内嵌在伪造的colorama 包中的恶意软件激活多阶段感染序列，导致 Python 代码从远程服务器中执行，从而通过 Windows Registry 变更在主机上建立持久性并从web浏览器中窃取与 Instagram 和 Telegram 相关的数据、密币钱包、Discord 令牌和会话令牌。

研究人员提到，“该恶意软件中包含一个文件窃取器组件，查找名称或扩展中的某些特定关键字。它瞄准多个目录如 Desktop、Downloads、Documents 和 Recent Files。”

被捕获的数据最终通过匿名文件分享服务如 GoFile 和 Anonfiles 传输给攻击者。另外该数据还通过 HTTP 请求以及硬件标识符或IP地址发送到威胁行动者的基础设施以追踪受害者机器。研究人员提到，“这起活动说明恶意人员通过可信平台如 PyPI 和 GitHub 分发恶意软件所用的复杂技术。这起事件强调了即使从可信来源安装包和仓库时也要保持警醒的重要性。全面审查依赖、监控可疑网络活动以及维护健壮安全实践对于防御此类攻击至关重要。”