One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8556584 |
| Date de publication | 2024-08-12 20:48:14 (vue: 2024-08-12 21:18:27) |
| Titre | Stackexchange a maltraité pour répandre un paquet de python malveillant qui draine les victimes \\ 'portefeuille cryptographique StackExchange Abused to Spread Malicious Python Package That Drains Victims\\' Crypto Wallets |
| Texte | ## Instantané Les chercheurs de CheckMarx ont identifié le téléchargement de packages Python malveillants au référentiel PYPI, qui ont ensuite été promus via la plate-forme en ligne StacKExchange. ## Description Les packages, nommés \\ 'Spl-Types, \' \\ 'Raydium, \' \\ 'Sol-Structs, \' \\ 'Sol-Istruct, \' et \\ 'Raydium-Sdk,\\ 'contenait des scripts qui ont volé des données sensibles aux navigateurs, des applications de messagerie (télégramme, signal, session) et des portefeuilles de crypto-monnaie (Exode, Electrum, Monero).De plus, les logiciels malveillants pourraient exfiltrer des fichiers avec des mots clés spécifiques et prendre des captures d'écran, envoyant toutes les données à un canal télégramme.Les attaquants ont ciblé les utilisateurs impliqués dans les projets Raydium et Solana Blockchain, tirant parti de l'absence d'une bibliothèque Python pour Raydium pour exploiter la situation.Ils ont créé des comptes sur StacKExchange et laissé des commentaires sous des threads populaires contenant des liens vers les forfaits malveillants, conduisant finalement à plus de 2000 infections potentielles.L'impact de la campagne est illustré par les cas où une victime a fait drainer son portefeuille de crypto-monnaie Solana, et une autre victime a fait capturer sa clé privée dans une capture d'écran, contournant les protections de l'AMF.Cette tactique a été précédemment signalée dans un cas similaire en mai 2024, impliquant la promotion de packages Python malveillants sur PYPI via des réponses Stackoverflow. ## Recommandations Les utilisateurs de PYPI peuvent signaler des projets et autres problèmes de sécurité en naviguant vers [https://pypi.org/security/ Bien que chaque situation soit unique au client et à son environnement, les recommandations suivantes sont largement applicables pour aider à identifier et à atténuer les attaques de cryptojacking: - Rôles privilégiés séparés: les comptes d'administration et d'utilisateurs doivent être distincts.Utilisez le gestionnaire d'identité privilégiée ou les comptes distincts pour les tâches privilégiées, limitant les comptes avec des autorisations excessives.Appliquer l'authentification multi-facteurs (MFA) et l'accès conditionnel, en particulier pour les comptes ayant des rôles élevés. - Implémentez le MFA: assurez une utilisation complète de la MFA, en particulier pour les comptes avec des privilèges de contributeur de machine virtuelle.Décourager la réutilisation du mot de passe.Une liste complète des recommandations de sécurité du cloud peut être trouvée des recommandations d'insécurité & # 8211;un guide de référence. - Utiliser les comportements de connexion basés sur les risques et les politiques d'accès conditionnel: surveiller les scores de risque High Azure Active Directory et corréler le comportement des risques avec l'activité ultérieure.Implémentez les politiques d'accès conditionnel pour la réauthentification multifactor, la conformité des périphériques, les mises à jour de mot de passe ou le blocage de l'authentification. - détecter les anomalies de connexion: utilisez des méthodes de détection d'anomalies standard pour identifier les modèles de connexion inhabituels, tels que l'utilisation de proxy, les emplacements anormaux et les agents utilisateur.Utilisez Microsoft 365 Defender pour détecter les activités suspectes effectuées par les utilisateurs risqués. - Surveiller les adresses IP Azure externes: l'authentification des adresses IP non locataires doit être considérée comme anormale.Utilisez la liste AZ VM List-IP-AddressEsccomand pour identifier les adresses IP allouées au sein du locataire. - Surveiller les augmentations de quotas: surveiller les augmentations de quotas inattendues, en particulier dans plusieurs régions ou pour des ressources rarement utilisées, car elles peuvent indiquer des attaques d'abus de ressources.Les détections d'augmentation des quotas peuvent être affinées en se concentrant su |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **© 2000 2024 2024** 365 absence abuse abused access accessed accounts across active activities activity additionally addresses addresses: addresses command admin agents all allocated anomalies: anomalous anomaly another answers any applicable apply apps are attackers attacks attacks: authentication azure based been behavior behaviors blockchain blocking broadly browsers bypassing campaign can captured case cases channel checkmarx cloud com/blog/stackexchange comments commonly compliance comprehensive conditional considered contained containing content contributor copyright core correlate could created crypto cryptocurrency cryptojacking customer data defender description detect detecting detection detections device directory discourage distinct distribution drained drains electrum elevated employ ensure environment especially every excessive exemplified exfiltrate exodus exploit external factor files focusing following found from full guide had has help high https://checkmarx https://pypi identified identify identifying identity impact implement increase increases increases: indicate infections instruct involved involving in security issues key keywords leading left leveraging library limiting links list locations login machine malicious malware management or may messaging methods mfa mfa: microsoft mitigate monero monitor multi multifactor multiple named navigating non of mfa online org/security/ other over package packages part particularly password patterns performed permission permissions platform policies policies: popular potential previously private privileged privileges prohibited projects promoted promotion protections proxy pypi python quota rarely raydium reauthentication recommendations reference references refined regions report reported repository reproduction researchers reserved resource resources reuse rights risk risky roles roles: scores screenshot screenshots scripts sdk security sending sensitive separate session should sign signal similar site situation snapshot sol solana specific spl spread stackexchange stackoverflow standard steps stole structs subsequent such suspicious tactic take targeted tasks telegram tenant then thereof threads through types ultimately under unexpected unique unusual updates upload usage use used user users utilize victim victims virtual wallet wallets wallets/ watch where which within without written |
| Tags | Malware Threat Cloud |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.