Команда безопасности JFROG советует своим клиентам и общественности знать о недавней атаке цепочки поставок, включающей злонамеренный пакет Python под названием «CCXD Python M-Exe-Futures», который имитирует популярный торговый пакет для обмена криптовалютами «CCXT» и может нанести широкий ущерб.
Библиотека CCXT — это коллекция доступных крипто -бирж или обменных классов. Каждый класс реализует государственный и частный API для конкретного крипто -обмена. Все обмены получены из класса базового обмена и имеют набор общих методов. Чтобы получить доступ к конкретному обмену из библиотеки CCXT, разработчикам необходимо создать экземпляр соответствующего класса обмена. Поддерживаемые обмены часто обновляются, а новые обмены добавляются регулярно.
Оказавшись внутри системы, злоумышленники стремятся украсть учетные данные пользователя для платформы MEXC Exchange. Эта атака включает в себя опечатку, имитирующие интерфейсы исходного пакета и изменение типов откликов, чтобы скрыть злонамеренную деятельность. Типосокватирование — это злонамеренная практика, когда преступники регистрируют доменные имена, которые очень похожи на законные сайты, но с небольшими ошибками правописания или вариациями.
Цель состоит в том, чтобы заставить пользователей посетить фальшивый сторонний веб-сайт, часто украсть их личную информацию, установить вредоносные программы или перенаправить их на другие злонамеренные серверы, сказал лидер безопасности цепочки поставок JFROG Брайан Муссалли.
Эта последняя атака, впервые обнаруженная в начале этого месяца, нацеливались на разработчиков и потенциально трейдеров криптовалюты, использующих пользовательские сценарии, с широким спектром потенциальных жертв из -за характера атак цепочки поставок.
Красные флаги
По словам Муссалли, идентификация вредоносного пакета сложно, потому что он имитирует оригинал и загружает его. Красные флаги включают новых пользователей, развертывающих пакеты с аналогичными именами на популярные и пакеты с небольшим количеством загрузок.
Программное обеспечение JFROG помогает обеспечить жизненные циклы разработки программного обеспечения и предоставляет такие инструменты, как каталог и распространение для фильтрации пакетов и установить правила утверждения. По словам Муссалли, атака, обнаруженная около двух недель назад, нанесла вред различным репозиториям, которые включают PYPI, NPM, Nuget и GitHub.
Поскольку механизмы криптографии, как правило, безопасны, эти злоумышленники достигают более мягких целей, включая связь с серверами, крипто -кошельками и более ранние этапы торговли для кражи учетных данных. По словам Муссалли, успешная атака с использованием украденных учетных данных пользователя может истощать крипто -учетную запись пользователя.
«Когда мы смотрим на подозрительный код, мы стараемся проверить индикаторы, например, когда был создан код, или если у авторов нет никакой послужной списка — это может быть новый пользователь, развертывающий пакет, который кажется важным, но вроде« видна », — сказал Муссалли.
«Как только мы найдем их, мы сообщаем их о сопровождении, и это является частью нашей миссии».
Муссалли сказал, что JFROG также обнаружил, что эксплойты «пытаются ввести (вредоносный) код в ваш крипто -кошелек. Допустим, у вас есть местное приложение (такое как кошелька для монета, платеж или лунную плату). Они просто вводят кусок кода, который изменит поведение вашего крипто -оборота и подвеет к вашему кредитованию к другому месту, а затем выберет свой вход, так, как, так что.
Невозможная миссия
Ввиду всех миллионов загрузок программного обеспечения, которые происходят каждый день во всем мире, Муссалли сказал, что попытка отслеживать все методы, которые используют злоумышленники, является «невозможной миссией для разработчиков программного обеспечения. Вот почему эксперты по безопасности должны решать эту проблему с помощью новых инструментов и методов и продуктов».
«Атака цепочки поставок программного обеспечения может попасть (предприятие) на любом из этих этапов — от части разработки до части здания до хранения ваших артефактов на некотором сервере и развертывания до производства», — сказал Муссалли. «Итак, я думаю, что было бы несправедливо оказать давление на команду разработки программного обеспечения, так как ваши уязвимые места могут быть во всей вашей деятельности или то, что делает ваша организация. Это действительно трудно поставить команду разработки программного обеспечения».
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Крис Дж. Preimesberger, писатель/редактор, работающий в нескольких публикациях с июня 2021 года, является бывшим редактором Eweek. Он отвечал за освещение публикации в течение десятилетия (2011-2021). За его 16 лет и более 5000 статей в … Подробнее от Криса Дж. Preimesberger
