Hackers envenenan el código fuente de la plataforma de bots Discord

Iniciado por AXCESS, Marzo 25, 2024, 07:20:25 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 25, 2024, 07:20:25 PM Ultima modificación: Marzo 25, 2024, 07:30:57 PM por AXCESS
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La comunidad de bots No tienes permitido ver los links. Registrarse o Entrar a mi cuenta Discord, con más de 170.000 miembros, se ha visto afectada por un ataque a la cadena de suministro destinado a infectar a los desarrolladores con malware que roba información confidencial.

El actor de amenazas ha estado utilizando varias tácticas, técnicas y procedimientos (TTP) a lo largo de los años, incluido el secuestro de cuentas de GitHub, la distribución de paquetes maliciosos de Python, el uso de una infraestructura Python falsa e ingeniería social.

Una de las víctimas más recientes del atacante es No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, una popular plataforma de búsqueda y descubrimiento para servidores, bots y otras herramientas sociales de Discord orientadas a los juegos, impulsar la participación y mejorar la funcionalidad.

Los investigadores de Checkmarx descubrieron la campaña y señalan que el objetivo principal era probablemente el robo de datos y la monetización mediante la venta de la información robada.

Secuestro de cuenta

Según los investigadores, la actividad del atacante comenzó en noviembre de 2022, cuando cargaron por primera vez paquetes maliciosos en el Índice de paquetes de Python (PyPI).

En los años siguientes, se cargaron en PyPI más paquetes que contenían malware. Se parecían a herramientas populares de código abierto con descripciones atractivas que harían que tuvieran más probabilidades de obtener una buena clasificación en los resultados de los motores de búsqueda.

La carga más reciente fue un paquete llamado "yocolor" en marzo de este año.

Paquetes utilizados en la campaña
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

A principios de 2024, los atacantes configuraron un espejo de paquete Python falso en "files[.]pypihosted[.]org", que es un intento de error tipográfico para imitar el auténtico "No tienes permitido ver los links. Registrarse o Entrar a mi cuenta" donde se encuentran los archivos de artefactos de los paquetes PyPI almacenados.

Este espejo falso (fake mirror) se utilizó para alojar versiones envenenadas de paquetes legítimos, como una versión alterada del popular paquete "colorama", con el objetivo de engañar a los usuarios y a los sistemas de desarrollo para que utilizaran esta fuente maliciosa.

Los paquetes maliciosos cargados en PyPI sirvieron como vector inicial para comprometer los sistemas. Una vez que un sistema se vio comprometido, o si los atacantes secuestraron cuentas privilegiadas de GitHub, alteraron los archivos del proyecto para señalar dependencias alojadas en el espejo falso (fake mirror).

Checkmarx destaca un caso de marzo en el que los atacantes piratearon la cuenta de un mantenedor de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, "editor-syntax", que tenía importantes permisos de acceso de escritura en los repositorios GitHub de la plataforma.

Discusión en Discord sobre la cuenta pirateada
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El atacante utilizó la cuenta para realizar confirmaciones maliciosas en el repositorio python-sdk de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, como agregar una dependencia en la versión envenenada de "colorama" y almacenar otros repositorios maliciosos, para aumentar su visibilidad y credibilidad.

Confirmación maliciosa para modificar el archivo requisitos.txt
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Payload final

Una vez que se ejecuta el código Python malicioso, activa la siguiente etapa al descargar desde un servidor remoto un pequeño script de carga o cuentagotas que recupera la carga útil final (payload) en forma cifrada.

Modificación del registro para persistencia
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las capacidades de robo de datos del malware se pueden resumir en lo siguiente:

    Se dirige a los datos del navegador en Opera, Chrome, Brave, Vivaldi, Yandex y Edge para robar cookies, autocompletar, historial de navegación, marcadores, detalles de tarjetas de crédito y credenciales de inicio de sesión.

    Busca directorios relacionados con Discord para descifrar y robar tokens de Discord, obteniendo potencialmente acceso no autorizado a cuentas.

    Roba de varias carteras de criptomonedas buscando y cargando archivos de cartera en formato ZIP en el servidor del atacante.

    Intenta robar datos de sesión de Telegram para acceso no autorizado a cuentas y comunicaciones.

    Incluye un componente de ladrón de archivos dirigido a archivos del escritorio, descargas, documentos y archivos recientes en función de palabras clave específicas.

    Aprovecha tokens de sesión de Instagram robados para recuperar detalles de la cuenta a través de la API de Instagram.

    Captura las pulsaciones de teclas y las guarda, exponiendo potencialmente contraseñas e información confidencial. Estos datos se cargan en el servidor del atacante.

    Utiliza métodos como servicios anónimos para compartir archivos (por ejemplo, GoFile) y solicitudes HTTP con identificadores únicos (ID de hardware, dirección IP) para rastrear y cargar datos robados en el servidor del atacante.

Descripción general del ataque
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Todos los datos robados se envían al servidor de comando y control a través de solicitudes HTTP, con identificadores únicos basados en hardware o direcciones IP. Paralelamente, se sube a servicios de alojamiento de archivos como GoFile.

Se desconoce el número de usuarios afectados por esta campaña, pero el informe de Checkmarx destaca los riesgos de la cadena de suministro de código abierto y la importancia de que los desarrolladores verifiquen la seguridad de sus componentes básicos.

El malware establece persistencia en la máquina comprometida entre reinicios modificando el Registro de Windows.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario