近日
，投毒有研究人员称机器人平台 Top.gg Discord 受到了来自黑客的器人供应链攻击， 并在开发人员感染恶意软件后窃取平台的平台敏感信息
。据悉，源代遇黑该平台拥有超 17 万名成员
，码遭是投毒一个针对 Discord 服务器、机器人和其他社交工具的器人流行搜索和发现平台 ，主要面向游戏、平台提高参与度和改进功能 。源代遇黑

多年来 ，码遭黑客一直尝试各种攻击战术，投毒包括劫持 GitHub 账户、器人分发恶意 Python 软件包 、服务器租用平台使用伪造的源代遇黑 Python 基础架构和社交工程等等。

Checkmarx 指出黑客对该平台频繁发起攻击的码遭主要目的很可能是窃取数据并通过出售窃取的信息实现盈利 。

根据研究人员的调查 ，黑客的攻击活动最早被发现于 2022 年 11 月 ，当时他们在 Python 软件包索引（PyPI）上首次上传了恶意软件包。随后的几年时间里，有越来越多的携带恶意软件的建站模板软件包被上传到了 PyPI。

这些软件包类似于流行的开源工具，其包装的十分“诱人”的描述使它们更有可能在搜索引擎结果中排名靠前 。最近的一次上传是今年 3 月名为 "yocolor "的软件包。

活动中使用的软件包（图源：Checkmarx）

2024 年初 ，攻击者在 "files[.]pypihosted[.]org "建立了一个虚假的 Python 软件包，PyPI 软件包的原型文件就存放在 "files.pythonhosted.org"。模板下载

这个虚假软件包被用来托管中毒版本的合法软件包，例如流行的 "colorama "软件包的篡改版本，目的是诱骗用户和开发系统使用这个恶意源。

上传到 PyPI 的恶意软件包是入侵系统的初始载体，一旦用户系统被入侵，或者攻击者劫持了有权限的 GitHub 账户 ，他们就会修改项目文件以指向虚假软件包托管的香港云服务器依赖项
。

Checkmarx 提到
，近日攻击者入侵了 top.gg 维护者 "editor-syntax "的账户，该账户在该平台的 GitHub 资源库中拥有大量写入访问权限
。

Discord 上关于被黑账户的讨论 (图源：Checkmarx)

攻击者使用该账户对 Top.gg 的 python-sdk 版本库进行恶意提交，如添加对中毒版本 "colorama "的依赖，并存储其他恶意版本库，以提高其知名度和可信度。

恶意提交修改 requirements.txt 文件 (图源  ：Checkmarx)

一旦恶意 Python 代码被执行，它就会启动下一阶段，从远程服务器下载一个小型加载器或滴注脚本  ，云计算以加密形式获取最终有效载荷。

恶意软件通过修改 Windows 注册表，在重启之间在被入侵机器上建立持久性。

修改注册表以获得持久性（图源：Checkmarx）

该恶意软件的数据窃取功能可归纳为以下几点 ：

攻击概述（图源 ：Checkmarx）

所有被窃取的数据都会通过 HTTP 请求发送到命令和控制服务器，并携带基于硬件的唯一标识符或 IP 地址
。同时 ，这些数据会被上传到 Anonfiles 和 GoFile 等文件托管服务。

受此影响的用户数量目前尚不清楚，但 Checkmarx 的报告强调了开源供应链的风险以及开发人员检查其构建模块安全性的重要性。