一个可疑的开发人员似乎已经执行了一个域名劫持以接管原始项目
在社交媒体用户提醒团队的存在之后,在Python软件包索引(PYTHON)索引(PYTHON)索引(PYTHON)软件包(PYTHON)软件包(PYTHON)软件包(PYTHON)软件包(PYTHON)软件包(PYTHON)软件包中已将其删除。
5月24日,印度黑客Somdev Sangwan在Twitter上向开发人员提醒了影响Python CTX图书馆的潜在安全问题。在一条推文,桑旺说:
Python的CTX库和PHP的PHP叉子已被妥协。三百万用户合并。恶意代码将所有环境变量发送到Heroku应用程序,可能会挖掘AWS凭证。
环境变量还可以包括其他形式的凭据,并且API钥匙。
研究人员首先意识到了一个有问题的包裹reddit线程。
恶意更新
5月22日,带有绰号的Reddit用户socketpuppet表示已经对CTX进行了新的更新,这是一个在GitHub和PYPI上托管的项目。
GitHub存储库原始项目,专为使用DOT符号软件的简单字典项目查询而设计,大约八年来尚未更新。
Sangwan指出:“ OP(原始海报)表示最近进行了更新,在PYPI上,它已于5月21日更新。”“但是GitHub存储库不能反映任何变化。”
他不是唯一质疑更新的人。在Reddit线程上,用户查询了为什么将环境变量发送到URL - https://web.herokuapp.com/hacked - 检查了beplay体育能用吗开源项目的源代码以及为什么尚未更新GitHub存储库。
socketpuppet说:“我为新版本创建了一个新的公司帐户和存储库,因此该来源将完全更改。”
sockpuppets’帖子历史导致一个中型博客并以“ Aydinnyunuss”的名称将其与其他GitHub存储库联系起来。
正如Reddit用户“抗精神病生”所指出的那样GitHub帐户属于这个名称,显然属于伊斯坦布尔商业大学的开发商/学生,是Gatecracker的创造者。该软件还请求对Heroku应用程序的要求。
过期的域
负责将恶意软件包上传到PYPI的个人利用了过期的域,购买了名称,然后获得了注册到原始存储库的电子邮件地址的所有权。
换句话说,他们这样做是为了向自己发送密码检索电子邮件,并化妆作为原始项目维护者。
Sangwan还发现了一个证据phpass妥协。总体而言,受影响的软件包估计已下载了300万次,但只有在过去一周左右下载的用户似乎受到了影响。
这CTX软件包以及其他受影响的库,此后已从存储库中删除。
Python基金会告诉每日swbeplay2018官网ig妥协“由于对过期的域进行了重新注册,因此是一个单个用户帐户。
该组织补充说:“托管用户电子邮件地址的域重新注册了2022-05-14T18:40:05Z和一个密码重置,已在2022-05-14T18:52:40Z成功完成了用户完成的密码重置。”“然后删除了原始版本,并上传了恶意副本。”
PYPI本身并未直接妥协。
在后续写上去基金会指出,在5月14日至2022年5月24日之间安装CTX软件包的用户受到了影响。如果用户环境变量包含敏感数据,则组织建议密码和密钥的旋转。
socketpuppets/aydinnyunuss尚未回应置评请求。
每日swbeplay2018官网ig已经与CTX项目维护人员联系,如果和我们回来时,我们将更新。