🖥 Python-разработчики подверглись сложной атаке на цепочку поставок

⏩Аналитики компании Checkmarx сообщили, что после загрузки вредоносного клона популярной утилиты Colorama несколько Python-разработчиков, включая сопровождающего Top.gg, оказались заражены малварью, похищающей информацию. По мнению специалистов, основной целью кампании, скорее всего, была кража данных и их последующая монетизация.

⏩Атака началась аж в ноябре 2022 года, когда хакеры впервые загрузили вредоносные пакеты в Python Package Index (PyPI). В последующие годы на PyPI было добавлено еще больше пакетов с малварью. Все они были похожи на популярные опенсорсные инструменты, что повышало вероятность их попадания в результаты поисковых систем.

⏩Утилита Colorama, которую в числе прочих подделали злоумышленники, обеспечивает работу последовательностей символов ANSI в Windows и в настоящее время насчитывает более 150 млн загрузок ежемесячно.

⏩Чтобы организовать атаку на цепочку поставок, хакеры клонировали эту утилиту, внедрили в нее вредоносный код и разместили вредоносную версию на поддельном домене. Благодаря тому, что атакующие использовали тайпсквоттинг, сайт хакеров (files.pypihosted[.]org) походил на легитимное зеркало files.pythonhosted.org.

⏩Для распространения вредоносного пакета злоумышленники не только создали вредоносные репозитории под собственными учетными записями, но также взломали ряд известных аккаунтов. В их числе был GitHub-аккаунт editor-syntax, поддерживающий платформу для поиска и обнаружения серверов, ботов и других социальных инструментов в Discord, Top.gg, сообщество которой насчитывает более 170 000 участников.

⏩Аккаунт, скорее всего, был взломан через украденные cookies, которые злоумышленники использовали для обхода аутентификации и выполнения вредоносных действий, при этом не зная пароля аккаунта. В результате взлома пострадали несколько членов сообщества Top.gg.

📎 Читать подробнее

@linuxkalii

💻 BI.ZONE представила ИБ‑исследование Threat Zone 2024, посвящённое российскому ландшафту киберугроз и хаккластеров

🗄По этому исследованию, 15% от всех атак приходятся на компании из сферы ретейла, по 12% пришлись на промышленность, энергетику, финансы и страхование, а на транспортную отрасль — 10% всех атак. Также 9% всех атак пришлось на государственный сектор, 8% — на IT‑компании, по 5% выявленных атак на отрасли, связанные с инженерией, связью, образованием и наукой, а в строительной отрасли было зафиксировано 4% от всех атак.

🗄Основной мотивацией для киберпреступников были финансы. В рамках исследования, 76% всех атак носили такой характер. Хакеры распространяли программы‑вымогатели, требовали выкуп за скомпрометированную конфиденциальную информацию и находили способы получить прямой доступ к финансовым активам жертв. Для атак злоумышленники широко применяли легитимные инструменты, коммерческое вредоносное ПО (ВПО) и инструменты с открытым исходным кодом.

🗄В прошлом году киберпреступники стали активно использовать специально созданные ресурсы для публикации данных о своих жертвах, если атакованные отказались выплачивать выкуп. Кроме того, злоумышленники с финансовой мотивацией различаются по уровню подготовки: среди них есть опытные взломщики с глубокими техническими знаниями и киберпреступники с низким уровнем подготовки, делающие ставку в основном на простое коммерческое ВПО.

🗄 Подробнее

@linuxkalii

💻 GEOBOX обещает превратить Raspberry Pi в анонимный инструмент для кибератак

В Telegram и даркнете рекламируют ПО для Raspberry Pi под названием GEOBOX, которое обещает превратить одноплатник в настоящий хакерский инструмент для анонимных кибератак. Исследователи компании Resecurity обнаружили GEOBOX в ходе расследования громкой кражи банковских данных, затронувшей неназванную компанию из списка Fortune.

GEOBOX представляет собой пакет приложений для хакеров, ориентированных на мошенничество и анонимизацию. Он распространяется через Telegram-каналы по подписке, и его цена составляет 80 долларов в месяц или 700 долларов за пожизненную лицензию.

Resecurity перечисляет следующие возможности GEOBOX:

🗄подмена GPS даже на устройствах без ресивера, что позволяет подделывать данные о географическом положении, обходить системы безопасности и заниматься мошенничеством, зависящим от конкретного местоположения;

🗄эмуляция определенных сетевых настроек и точек доступа Wi-Fi для маскировки незаконных действий под легитимный сетевой трафик;

🗄обход антифрод-систем для финансового мошенничества и кражи личных данных;

🗄маршрутизация трафика через анонимизирующие прокси для сокрытия местоположения;

🗄WebRTC маскировка для IP и маскировка MAC-адресов Wi-Fi для сокрытия реального IP-адреса пользователя и имитации идентификаторов различных сетей Wi-Fi, что затрудняет отслеживание цифровых следов;

🗄широкая поддержка VPN-протоколов, включая настройки DNS для определенных мест, чтобы предотвратить утечки данных;

🗄поддержка LTE-модемов для подключения к мобильному интернету, что добавляет еще один уровень анонимности.

Читать подробнее

@linuxkalii