El popular paquet PyPI “ctx” i la biblioteca PHP “phpass” segrestats per robar claus AWS

S’han descobert dos paquets Python i PHP troianitzats en el que és un altre exemple d’atac a la cadena de subministrament de programari dirigit a l’ecosistema de codi obert.

Un dels paquets en qüestió és “ctx”, un mòdul Python disponible al repositori PyPi. L’altra implica “phpass”, un paquet PHP que s’ha bifurcat a GitHub per distribuir una actualització descarada.

“En tots dos casos, sembla que l’atacant s’ha fet càrrec de paquets que no s’han actualitzat des de fa temps”, va dir el SANS Internet Storm Center (ISC), un dels gestors d’incidències voluntaris del qual, Yee Ching, va analitzar el paquet ctx.

Val la pena assenyalar que ctx, abans de l’últim llançament el 21 de maig de 2022, es va publicar per última vegada a PyPi el 19 de desembre de 2014. D’altra banda, phppass no ha rebut cap actualització des que es va penjar a Packagist el 31 d’agost, 2012. Les dues biblioteques s’han eliminat de PyPi i GitHub.

Seguretat cibernètica

En el seu nucli, les modificacions estan dissenyades per exfiltrar les credencials d’AWS a un URL d’Heroku anomenat “anti-theft-web.herokuapp”.[.]com.’ “Sembla que l’autor està intentant obtenir totes les variables d’entorn, codificar-les a Base64 i reenviar les dades a una aplicació web sota el control de l’autor”, va dir Ching.

Se sospita que l’atacant va aconseguir un accés no autoritzat al compte del responsable per publicar la nova versió ctx. Una investigació posterior ha revelat que l’actor de l’amenaça va registrar el domini caducat utilitzat pel mantenidor original el 14 de maig de 2022.

Paquet PyPI i biblioteca PHP
L’ordre diff de Linux executada al paquet ctx 0.1.2 original i al paquet “nou” ctx 0.1.2

“Amb control sobre el nom de domini original, crear un correu electrònic corresponent per rebre un correu electrònic de restabliment de la contrasenya seria trivial”, va afegir Ching. “Després d’obtenir accés al compte, l’autor podria eliminar el paquet antic i pujar les noves versions amb porta posterior”.

Casualment, el 10 de maig de 2022, el consultor de seguretat Lance Vick divulgat com és possible comprar dominis de correu electrònic de manteniment de NPM caducats i, posteriorment, utilitzar-los per tornar a crear correus electrònics de manteniment i setze controls dels paquets.

Paquet PyPI i biblioteca PHP

A més, una anàlisi de metadades d’1,63 milions de paquets JavaScript NPM realitzada per acadèmics de Microsoft i la Universitat Estatal de Carolina del Nord l’any passat va descobrir 2.818 adreces de correu electrònic de manteniment associades a dominis caducats, cosa que va permetre que un atacant segrestés 8.494 paquets fent-se càrrec dels comptes de NPM.

“En general, qualsevol nom de domini es pot comprar a un registrador de dominis que permet al comprador connectar-se a un servei d’allotjament de correu electrònic per obtenir una adreça de correu electrònic personal”, van dir els investigadors. “Un atacant pot segrestar el domini d’un usuari per fer-se càrrec d’un compte associat amb aquesta adreça de correu electrònic”.

Seguretat cibernètica

En cas que el domini d’un mantenedor ha caducat, l’actor de l’amenaça pot adquirir el domini i modificar els registres d’intercanvi de correu DNS (MX) per apropiar-se de l’adreça de correu electrònic del responsable.

“Sembla que el phppass compromès es va produir perquè el propietari de la font del paquet: ‘hautelook’ va suprimir el seu compte i després l’atacant va reclamar el nom d’usuari”, l’investigador independent Somdev Sangwan. dit en una sèrie de tuits, detallant el que s’anomena un atac de segrest de dipòsits.

Els repositoris públics de codi font obert com Maven, NPM, Packages, PyPi i RubyGems són una part fonamental de la cadena de subministrament de programari en què depenen moltes organitzacions per desenvolupar aplicacions.

D’altra banda, això també els ha convertit en un objectiu atractiu per a diversos adversaris que busquen oferir programari maliciós.

Això inclou errors ortogràfics, confusió de dependències i atacs d’adquisició de comptes, els darrers dels quals es podrien aprofitar per enviar versions fraudulentes de paquets legítims, donant lloc a compromisos generalitzats en la cadena de subministrament.

“Els desenvolupadors confien cegament en els dipòsits i instal·len paquets d’aquestes fonts, suposant que són segurs”, va dir l’any passat la firma DevSecOps JFrog, i va afegir com els actors de les amenaces utilitzen els dipòsits com a vector de distribució de programari maliciós i lancen atacs amb èxit tant al desenvolupador com a CI/CD. maquinària a la canonada.

ACTUALITZACIÓ: Un investigador de seguretat amb seu a Istanbul ha reivindicat la responsabilitat d’alterar els paquets ctx i phpass amb codi per robar les credencials d’AWS dels desenvolupadors, l’últim dels quals va utilitzar una tècnica anomenada chainjacking per reutilitzar el nom d’usuari de GitHub abandonat del responsable per servir codi maliciós.

Yunus Aydın va dir que va pagar 5 dòlars per registrar el domini caducat associat al projecte ctx (figlief@figlief[.]com) i va utilitzar el mecanisme de restabliment de la contrasenya per prendre el control del compte del responsable legítim.

“Tota aquesta investigació NO conté cap activitat maliciosa”, va dir Aydın en una publicació. “Vull mostrar com aquest atac senzill afecta a més de 10 milions d’usuaris i empreses. TOTES LES DADES QUE HE REBRE S’ELIMINEN I NO S’UTILITZAN”.

.

Leave a Comment

Your email address will not be published. Required fields are marked *