Hackers poison source code from largest Discord bot platform

출처

 

https://www.bleepingcomputer.com/news/security/hackers-poison-source-code-from-largest-discord-bot-platform/

Hackers poison source code from largest Discord bot platform

 

 

본문 내용

 

170,000명 이상의 회원을 보유한 Top.gg Discord 봇 커뮤니티가 민감한 정보를 훔치는 멀웨어로 개발자를 감염시키는 것을 목표로 하는 공급망 공격의 영향을 받았다. 이 위협 행위자는 지난 수년간 GitHub 계정 탈취, 악성 python 패키지 배포, 가짜 Python 인프라 사용, 소셜 엔지니어링 등 여러 가지 전술, 기술 및 절차(TTP)를 사용해 왔다.

 

가장 최근에 공격의 표적이 된 업체 중 하나는 게임, 참여도 향상, 기능 개선을 위한 Discord 서버, 봇 및 기타 소셜 도구를 위한 인기 검색 및 발견 플랫폼인 Top.gg이다. 이 캠페인을 발견한 Checkmarx 연구원들은 데이터 도용과 탈취한 정보 판매를 통한 수익 창출이 주요 목표일 가능성이 높다고 지적했다. 

 

top.gg 관리자 계정 탈취

 

연구진에 따르면, 공격자의 활동은 2022년 11월에 시작되었으며, 이때 처음으로 PyPI(Python 패키지 인덱스)에 악성 패키지를 업로드했다. 그 후 몇 년 동안 더 많은 멀웨어가 포함된 패키지가 PyPI에 업로드되었다. 이러한 패키지는 검색 엔진 결과에서 높은 순위를 차지할 수 있는 매력적인 설명과 함께 인기 있는 오픈 소스 도구와 유사했다. 가장 최근에 업로드된 것은 올해 3월에 "yocolor"라는 이름의 패키지였다. 

 

Packages used in the campaign   (Checkmarx)

 

2024년 초, 공격자들은 PyPI 패키지의 아티팩트 파일이 저장된 진짜 "files.pythonhosted.org"를 모방하기 위해 "files[.]pypihosted[.]org"에 가짜 파이썬 패키지 미러를 설정했다. 이 가짜 미러는 사용자와 개발 시스템을 속여 이 악성 소스를 사용하도록 유도하기 위해 인기 있는 "colorama" 패키지의 변경된 버전과 같은 합법적인 패키지의 포이즌 버전을 호스팅 하는 데 사용되었다. PyPI에 업로드된 악성 패키지는 시스템을 손상시키는 초기 매개체 역할을 했다. 시스템이 손상되거나 공격자가 권한이 있는 GitHub 계정을 탈취한 후에는 프로젝트 파일이 가짜 미러에서 호스팅 되는 종속성을 가리키도록 변경했다. 

 

Checkmarx는 지난 3월 공격자들이 플랫폼의 GitHub 리포지토리에 대한 상당한 쓰기 권한을 가진 top.gg 관리자의 계정인 'editor-syntax'를 해킹한 사례를 강조한다. 

 

Discussion on Discord about the hacked account   (Checkmarx)

 

공격자는 이 계정을 사용하여 "colorama"의 포이즌 버전에 대한 종속성을 추가하고 다른 악성 리포지토리를 저장하는 등 Top.gg의 python-sdk 리포지토리에 악의적인 커밋을 수행하여 가시성과 신뢰도를 높였다. 

 

Malicious commit to modify the requirements.txt file   (Checkmarx)

 

Final payload

 

악성 파이썬 코드가 실행되면, 원격 서버에서 최종 페이로드를 암호화된 형태로 가져오는 작은 로더 또는 드롭퍼 스크립트를 다운로드하여 다음 단계를 활성화한다. 이 악성코드는 Windows 레지스트리를 수정하여, 재부팅 사이에 감염된 시스템에서 지속성을 유지한다. 

 

Registry modification for persistence   (Checkmarx)

 

악성코드의 데이터 탈취 기능은 다음과 같이 요약할 수 있다.

 

* 오페라, 크롬, 브레이브, 비발디, 얀덱스, 엣지의 브라우저 데이터를 대상으로 쿠키, 자동 완성, 검색 기록, 북마크, 신용 카드 정보, 로그인 자격 증명을 훔친다.

 

* 디스코드 관련 디렉토리를 검색하여, 디스코드 토큰을 해독하고 탈취하여 계정에 무단으로 액세스 할 수 있는 권한을 얻을 수 있다.

 

* 다양한 암호화폐 지갑을 검색하여 ZIP 형식의 지갑 파일을 공격자의 서버에 업로드하여 지갑에서 훔친다.

 

* 텔레그램 세션 데이터를 탈취하여, 계정 및 커뮤니케이션에 대한 무단 접근을 시도한다.

 

* 특정 키워드를 기반으로 데스크톱, 다운로드, 문서, 최근 파일에 있는 파일을 대상으로 하는 파일 스틸러 구성요소가 포함되어 있다. 

 

* 훔친 인스타그램 세션 토큰을 활용하여 인스타그램 API를 통해 계정 세부 정보를 검색한다. 

 

* 키 입력을 캡처하고, 저장하여 잠재적으로 비밀번호와 민감한 정보를 노출시킬 수 있다. 이 데이터는 공격자의 서버에 업로드된다. 

 

* 익명의 파일 공유 서비스 ( ex: GoFile, Anonfiles ) 및 고유 식별자 ( 하드웨어 ID, IP 주소 )가 포함된 HTTP 요청과 같은 방법을 사용하여 탈취한 데이터를 추적하고 공격자의 서버에 업로드한다. 

 

Attack overview   (Checkmarx)

 

탈취된 모든 데이터는 하드웨어 기반 고유 식별자 또는 IP 주소를 포함한 HTTP 요청을 통해 명령 및 제어 서버로 전송된다. 이와 동시에 Anonfiles 및 GoFile과 같은 파일 호스팅 서비스에 업로드된다. 이 캠페인의 영향을 받은 사용자 수는 알려지지 않았지만, Checkmarx의 보고서는 오픈소스 공급망의 위험성과 개발자가 빌딩 블록의 보안을 확인하는 것의 중요성을 강조한다. 

 

 

참고

 

https://checkmarx.com/blog/over-170k-users-affected-by-attack-using-fake-python-infrastructure/

Attack Using Fake Python Infrastructure