Хакери атакували користувачів GitHub за допомогою підробленої інфраструктури Python. Про це повідомили дослідники Checkmarx.
Bro, what?😱
Over 170,000 users affected through a hijacked GitHub account used to spread info stealer #malware!
This was a first-of-its-kind "mirror poisoning" attack where the attacker distributed a malicious #Python dependency hosted on a fake Python infrastructure by… pic.twitter.com/oi9pRArxQq
— Checkmarx Supply Chain Security (@Cx_SCS) March 25, 2024
Шкідливий код замаскували під популярний пакет «colorama» і поширили серед більш ніж 170 000 членів спільноти Top.gg за допомогою скомпрометованого облікового запису одного з них.
Атака складалася з багатоетапного процесу виконання коду з декількох зовнішніх джерел.
Джерело: Checkmarx.
Метою шкідника була крадіжка даних браузерів, Discord, Instagram, сеансів Telegram, файлів, а також криптовалютних гаманців. Крім того, компонент кейлоггера давав змогу зловмисникам зчитувати натискання клавіш для розкрадання паролів, особистих повідомлень і фінансових даних.
Нагадаємо, на початку березня дослідники Apiiro виявили 100 000 завантажених на GitHub шкідливих репозиторіїв для зараження розробників інфостилером.