近日，有研究人員稱機(jī)器人平臺 Top.gg Discord 受到了來自黑客的供應(yīng)鏈攻擊， 并在開發(fā)人員感染惡意軟件后竊取平臺的敏感信息。據(jù)悉，該平臺擁有超 17 萬名成員，是一個(gè)針對 Discord 服務(wù)器、機(jī)器人和其他社交工具的流行搜索和發(fā)現(xiàn)平臺，主要面向游戲、提高參與度和改進(jìn)功能。

多年來，黑客一直嘗試各種攻擊戰(zhàn)術(shù)，包括劫持 GitHub 賬戶、分發(fā)惡意 Python 軟件包、使用偽造的 Python 基礎(chǔ)架構(gòu)和社交工程等等。

Checkmarx 指出黑客對該平臺頻繁發(fā)起攻擊的主要目的很可能是竊取數(shù)據(jù)并通過出售竊取的信息實(shí)現(xiàn)盈利。

劫持 top.gg 維護(hù)者賬戶

根據(jù)研究人員的調(diào)查，黑客的攻擊活動最早被發(fā)現(xiàn)于 2022 年 11 月，當(dāng)時(shí)他們在 Python 軟件包索引（PyPI）上首次上傳了惡意軟件包。隨后的幾年時(shí)間里，有越來越多的攜帶惡意軟件的軟件包被上傳到了 PyPI。

這些軟件包類似于流行的開源工具，其包裝的十分“誘人”的描述使它們更有可能在搜索引擎結(jié)果中排名靠前。最近的一次上傳是今年 3 月名為 "yocolor "的軟件包。

活動中使用的軟件包（圖源：Checkmarx）

2024 年初，攻擊者在 "files[.]pypihosted[.]org "建立了一個(gè)虛假的 Python 軟件包，PyPI 軟件包的原型文件就存放在 "files.pythonhosted.org"。

這個(gè)虛假軟件包被用來托管中毒版本的合法軟件包，例如流行的 "colorama "軟件包的篡改版本，目的是誘騙用戶和開發(fā)系統(tǒng)使用這個(gè)惡意源。

上傳到 PyPI 的惡意軟件包是入侵系統(tǒng)的初始載體，一旦用戶系統(tǒng)被入侵，或者攻擊者劫持了有權(quán)限的 GitHub 賬戶，他們就會修改項(xiàng)目文件以指向虛假軟件包托管的依賴項(xiàng)。

Checkmarx 提到，近日攻擊者入侵了 top.gg 維護(hù)者 "editor-syntax "的賬戶，該賬戶在該平臺的 GitHub 資源庫中擁有大量寫入訪問權(quán)限。

Discord 上關(guān)于被黑賬戶的討論 (圖源：Checkmarx)

攻擊者使用該賬戶對 Top.gg 的 python-sdk 版本庫進(jìn)行惡意提交，如添加對中毒版本 "colorama "的依賴，并存儲其他惡意版本庫，以提高其知名度和可信度。

惡意提交修改 requirements.txt 文件 (圖源：Checkmarx)

一旦惡意 Python 代碼被執(zhí)行，它就會啟動下一階段，從遠(yuǎn)程服務(wù)器下載一個(gè)小型加載器或滴注腳本，以加密形式獲取最終有效載荷。

惡意軟件通過修改 Windows 注冊表，在重啟之間在被入侵機(jī)器上建立持久性。

修改注冊表以獲得持久性（圖源：Checkmarx）

該惡意軟件的數(shù)據(jù)竊取功能可歸納為以下幾點(diǎn)：

• 針對 Opera、Chrome、Brave、Vivaldi、Yandex 和 Edge 中的瀏覽器數(shù)據(jù)，以竊取 cookie、自動填充、瀏覽歷史記錄、書簽、信用卡詳細(xì)信息和登錄憑據(jù)。
• 搜索與 Discord 相關(guān)的目錄以解密和竊取 Discord 令牌，從而可能獲得對帳戶的未經(jīng)授權(quán)的訪問。
• 通過搜索 ZIP 格式的錢包文件并將其上傳到攻擊者的服務(wù)器，從各種加密貨幣錢包中竊取。
• 試圖竊取 Telegram 會話數(shù)據(jù)以未經(jīng)授權(quán)訪問帳戶和通信。
• 包括一個(gè)文件竊取程序組件，根據(jù)特定關(guān)鍵字針對桌面、下載、文檔和最近打開的文件上的文件。
• 利用被盜的 Instagram 會話令牌通過 Instagram API 檢索帳戶詳細(xì)信息。
• 捕獲擊鍵并保存它們，可能會暴露密碼和敏感信息。此數(shù)據(jù)將上傳到攻擊者的服務(wù)器。
• 利用匿名文件共享服務(wù)（例如 GoFile、Anonfiles）和具有唯一標(biāo)識符（硬件 ID、IP 地址）的 HTTP 請求等方法來跟蹤被盜數(shù)據(jù)并將其上傳到攻擊者的服務(wù)器。

攻擊概述（圖源：Checkmarx）

所有被竊取的數(shù)據(jù)都會通過 HTTP 請求發(fā)送到命令和控制服務(wù)器，并攜帶基于硬件的唯一標(biāo)識符或 IP 地址。同時(shí)，這些數(shù)據(jù)會被上傳到 Anonfiles 和 GoFile 等文件托管服務(wù)。

受此影響的用戶數(shù)量目前尚不清楚，但 Checkmarx 的報(bào)告強(qiáng)調(diào)了開源供應(yīng)鏈的風(fēng)險(xiǎn)以及開發(fā)人員檢查其構(gòu)建模塊安全性的重要性。