流行的PyPI包“ctx”和PHP库“phpass”被劫持以窃取AWS密钥

在针对开源生态系统的软件供应链攻击的另一个实例中，发现了两个特洛伊木马化的Python和PHP包。

有问题的包之一是“ctx”，这是PyPi存储库中可用的Python模块。另一个涉及“phpass”，这是一个PHP包，在GitHub上派生出来用于分发恶意更新。

SANS Internet Storm Center（ISC）表示：“在这两种情况下，攻击者似乎都接管了一段时间没有更新的软件包。”该中心的一名志愿者事件处理人员Yee Ching分析了ctx软件包。

值得注意的是，ctx最后一次发布给PyPi是在2014年12月19日。另一方面，phpass自2012年8月31日上传到Packagegist后，一直没有收到更新。

2022年5月21日推送到PyPi的恶意Python包已从存储库中删除，但PHP库仍然可以在GitHub上使用。

在这两种情况下，修改旨在将AWS凭据过滤到名为“anti-theft web”的Heroku URL。herokuapp[.]com.”“犯罪者似乎试图获取所有环境变量，将其编码为Base64，并将数据转发给犯罪者控制下的web应用程序，”程说。

It's suspected that the attacker managed to gain unauthorized access to the maintainer's account to publish the new ctx version. Further investigation has revealed that the threat actor registered the expired domain used by the original maintainer on May 14, 2022.

在原始ctx 0.1.2包和“新”ctx 0.1.2包上执行的Linux diff命令

 

 

 

 

 

 

 

 

 

 

 

“有了对原始域名的控制，创建相应的电子邮件来接收密码重置电子邮件将是微不足道的，”程补充道。“在获得帐户访问权限后，犯罪者可以删除旧软件包并上载新的后门版本。”

巧合的是，2022年5月10日，安全顾问兰斯·维克（LanceVick）披露了如何购买失效的NPM维护者电子邮件域，并随后使用它们重新创建维护者电子邮件并控制包。

此外，微软和北卡罗来纳州立大学的学者去年对163万个JavaScript NPM包进行了元数据分析，发现了2818个与过期域相关的维护者电子邮件地址，有效地允许攻击者通过接管NPM帐户劫持8494个包。

研究人员说：“一般来说，任何域名都可以从域名注册商处购买，允许购买者连接到电子邮件托管服务，以获得个人电子邮件地址。”“攻击者可以劫持用户的域以接管与该电子邮件地址关联的帐户。”

如果维护者的域到期，威胁参与者可以获取该域并更改DNS邮件交换（MX）记录，以适合维护者的电子邮件地址。

研究人员Somdev Sangwan在一系列推文中详细介绍了所谓的存储库劫持攻击，他说：“看来phpass泄露事件的发生是因为软件包源‘hautelook’的所有者删除了他的帐户，然后攻击者声明了用户名。”

开放源代码的公共存储库，如Maven、NPM、Packages、PyPi和RubyGems，是许多组织开发应用程序所依赖的软件供应链的关键部分。

另一方面，这也使它们成为各种试图传播恶意网络安全软件的对手的诱人目标。

这包括输入错误、依赖关系混乱和账户接管攻击，后者可能被用来运送欺诈版本的合法软件包，从而导致供应链的广泛妥协。

DevSecOps公司JFrog去年表示：“开发人员盲目信任存储库并安装来自这些来源的软件包，前提是它们是安全的。”他补充道，威胁行为人如何将存储库用作恶意软件的传播媒介，并成功地对开发人员和正在开发的CI/CD机器发起攻击。