Hackers envenenam código fonte da maior plataforma de bot do Discord
26 de Março de 2024

A comunidade de bots Top.gg do Discord, com mais de 170.000 membros, foi afetada por um ataque à cadeia de suprimentos visando infectar desenvolvedores com malware que rouba informações sensíveis.

O ator da ameaça tem usado várias táticas, técnicas e procedimentos (TTPs) ao longo dos anos, incluindo sequestro de contas do GitHub, distribuição de pacotes Python maliciosos, uso de uma infraestrutura Python falsa e engenharia social.

Uma das vítimas mais recentes do atacante é a Top.gg, uma plataforma popular de busca e descoberta para servidores, bots e outras ferramentas sociais do Discord voltadas para jogos, aumento de engajamento e melhoria de funcionalidade.

Pesquisadores da Checkmarx descobriram a campanha e observam que o objetivo principal era provavelmente o roubo de dados e a monetização através da venda das informações roubadas.

Segundo os pesquisadores, a atividade do atacante começou em novembro de 2022, quando eles carregaram pela primeira vez pacotes maliciosos no Python Package Index (PyPI).

Nos anos que se seguiram, mais pacotes portando malware foram enviados para o PyPI.

Estes se assemelhavam a ferramentas de código aberto populares, com descrições atraentes que os tornariam mais propensos a ter um bom ranking nos resultados de busca dos motores de pesquisa.

O upload mais recente foi um pacote chamado "yocolor" em março deste ano.

No início de 2024, os atacantes configuraram um espelho falso de pacote Python em "files[.]pypihosted[.]org", em uma tentativa de typosquatting para imitar o autêntico "files.pythonhosted.org", onde são armazenados os arquivos de artefatos dos pacotes PyPI.

Este espelho falso foi usado para hospedar versões envenenadas de pacotes legítimos, como uma versão alterada do popular pacote "colorama", com o objetivo de enganar usuários e sistemas de desenvolvimento a usar esta fonte maliciosa.

Os pacotes maliciosos enviados para o PyPI serviram como um vetor inicial para comprometer sistemas.

Uma vez que um sistema era comprometido, ou se os atacantes sequestraram contas privilegiadas do GitHub, eles alteravam arquivos de projeto para apontar para dependências hospedadas no espelho falso.

A Checkmarx destaca um caso de março em que os atacantes hackearam a conta de um mantenedor da top.gg, "editor-syntax", que tinha permissões significativas de gravação nos repositórios GitHub da plataforma.

O atacante usou a conta para realizar comprometimentos maliciosos ao repositório python-sdk da Top.gg, como adicionar uma dependência na versão envenenada de "colorama" e armazenar outros repositórios maliciosos, para aumentar sua visibilidade e credibilidade.

Uma vez executado o código Python malicioso, ele ativa o próximo estágio, fazendo o download de um pequeno carregador ou script de soltura que busca a payload final em forma criptografada a partir de um servidor remoto.

O malware estabelece persistência na máquina comprometida entre reinicializações, modificando o Registro do Windows.

As capacidades de roubo de dados do malware podem ser resumidas no seguinte:

- Busca dados do navegador em Opera, Chrome, Brave, Vivaldi, Yandex e Edge para roubar cookies, preenchimento automático, histórico de navegação, favoritos, detalhes do cartão de crédito e credenciais de login.

- Procura por diretórios relacionados ao Discord para descriptografar e roubar tokens do Discord, potencialmente obtendo acesso não autorizado a contas.

- Rouba de várias carteiras de criptomoedas ao procurar e enviar arquivos de carteira em formato ZIP para o servidor do atacante.

- Tenta roubar dados de sessão do Telegram para acesso não autorizado a contas e comunicações.

- Inclui um componente de roubo de arquivos direcionando arquivos na área de trabalho, downloads, documentos e arquivos recentes com base em palavras-chave específicas.

- Utiliza tokens de sessão do Instagram roubados para recuperar detalhes da conta via API do Instagram.

- Captura sequências de teclas e as salva, expondo potencialmente senhas e informações sensíveis.

Estes dados são enviados para o servidor do atacante.

- Utiliza métodos como serviços de compartilhamento de arquivos anônimos (por exemplo, GoFile, Anonfiles) e solicitações HTTP com identificadores únicos (ID de hardware, endereço IP) para rastrear e enviar os dados roubados para o servidor do atacante.

Todos os dados roubados são enviados para o servidor de comando e controle via solicitações HTTP, carregando identificadores únicos baseados em hardware ou endereços IP.

Paralelamente, é enviado para serviços de hospedagem de arquivos como Anonfiles e GoFile.

O número de usuários impactados por esta campanha é desconhecido, mas o relatório da Checkmarx destaca os riscos da cadeia de suprimentos de código aberto e a importância dos desenvolvedores verificar a segurança de seus blocos de construção.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...