Atacan el Código Fuente de la Mayor Plataforma de Bots de Discord
La comunidad de bots de Discord más grande, Top.gg, con más de 170,000 miembros, ha sido impactada por un ataque de cadena de suministro con el objetivo de infectar a los desarrolladores con malware destinado a robar información sensible.
Ataque a la Cadena de Suministro
El actor de amenazas ha empleado diversas tácticas, técnicas y procedimientos (TTPs) a lo largo de los años, que incluyen el secuestro de cuentas de GitHub, la distribución de paquetes de Python maliciosos, el uso de una infraestructura falsa de Python y la ingeniería social.
Según los investigadores de Checkmarx, el ataque comenzó en noviembre de 2022, cuando los atacantes subieron por primera vez paquetes maliciosos al Índice de Paquetes de Python (PyPI). Estos paquetes se asemejaban a herramientas de código abierto populares, con descripciones atractivas que aumentaban su visibilidad en los resultados de búsqueda.
Modus Operandi del Atacante
En marzo de este año, los atacantes establecieron un espejo falso de paquetes de Python en "files[.]pypihosted[.]org", una tentativa de typosquatting para imitar el auténtico "files.pythonhosted.org", donde se almacenan los archivos de artefactos de los paquetes de PyPI. Este espejo falso se utilizó para alojar versiones envenenadas de paquetes legítimos, como una versión alterada del popular paquete "colorama", con el objetivo de engañar a los usuarios y a los sistemas de desarrollo para que utilicen esta fuente maliciosa.
Una vez que los sistemas fueron comprometidos o si los atacantes secuestraron cuentas privilegiadas de GitHub, alteraron los archivos de proyecto para apuntar a dependencias alojadas en el espejo falso.
Hijacking
Un caso destacado ocurrió en marzo, cuando los atacantes hackearon la cuenta de un mantenedor de Top.gg, "editor-syntax", quien tenía importantes permisos de escritura en los repositorios de GitHub de la plataforma. Utilizaron esta cuenta para realizar commits maliciosos al repositorio python-sdk de Top.gg, como agregar una dependencia a la versión envenenada de "colorama" y almacenar otros repositorios maliciosos para aumentar su visibilidad y credibilidad.
Carga Última del Malware
Una vez que el código Python malicioso se ejecuta, activa la siguiente etapa descargando desde un servidor remoto un pequeño script de carga que obtiene la carga útil final de forma encriptada. El malware establece persistencia en la máquina comprometida entre reinicios modificando el Registro de Windows.
Capacidades de Robo de Datos del Malware
El malware tiene capacidades de robo de datos que incluyen el robo de datos del navegador, búsqueda de directorios relacionados con Discord para robar tokens de Discord, intentos de robo de carteras de criptomonedas, robo de datos de sesión de Telegram, robo de archivos basado en palabras clave específicas, robo de tokens de sesión de Instagram y captura de pulsaciones de teclas.
Resumen del Ataque
Todo los datos robados son enviados al servidor de comando y control a través de solicitudes HTTP, llevando identificadores únicos basados en hardware o direcciones IP. Además, se cargan en servicios de alojamiento de archivos como Anonfiles y GoFile. Aunque el número exacto de usuarios afectados aún no se conoce, este incidente destaca los riesgos de la cadena de suministro de código abierto y la importancia de que los desarrolladores verifiquen la seguridad de sus bloques de construcción.
Preguntas Frecuentes (FAQs)
1. ¿Cómo puedo protegerme contra ataques de cadena de suministro similares? Es crucial mantenerse al tanto de las últimas amenazas y practicar la debida diligencia al elegir las dependencias del proyecto. Además, es fundamental utilizar herramientas de seguridad como análisis de dependencias y escaneo de vulnerabilidades.
2. ¿Qué medidas pueden tomar las plataformas como Top.gg para prevenir futuros ataques? Las plataformas deben implementar controles de seguridad robustos, como autenticación multifactor, monitoreo continuo de la integridad del código fuente y educación sobre la ingeniería social para los miembros de la comunidad.
3. ¿Qué debo hacer si sospecho que mi sistema ha sido comprometido por un ataque similar? Si sospechas que tu sistema ha sido comprometido, desconéctalo de la red y comunícate con un experto en ciberseguridad lo antes posible. Evita acceder a datos sensibles desde el sistema comprometido hasta que se realice una evaluación completa de la seguridad.