Пакеты с открытым исходным кодом с миллионами установок взломаны для сбора учетных данных AWS

Пакеты с открытым исходным кодом с миллионами установок взломаны для сбора учетных данных AWS. Фото: Pixabay

Компрометация двух популярных пакетов с открытым исходным кодом — CTX восьмилетней давности для Python и phpass для PHP — привела к тому, что разработчики изо всех сил пытаются jоценить масштаб угрозы.

Считается, что компрометация пакетов с открытым исходным кодом затронула в общей сложности 3 млн пользователей, и уже есть сообщение об атаке, затронувшей один бизнес.

Предприятиям, которые полагаются на любой из пакетов, рекомендуется убедиться, что они не обновлялись автоматически в каких-либо проектах. Эксперты советуют обновить все учетные данные в случае потенциальной компрометации. В частности, следует проанализировать все загрузки затронутых пакетов с открытым исходным кодом за последнюю неделю.

Инцидент был первоначально выявлен человеком, который заметил, что пакет CTX был обновлен, чтобы включить вредоносный код. Библиотека CTX позволяет разработчикам использовать точечную нотацию для доступа к элементам, хранящимся в словаре. 

Код, добавленный в библиотеку, отправляет все переменные среды пользователя, такие как учетные данные для доступа, на URL-адрес. Один из исследователей хакер, который проанализировал перекрестные ссылки на другие проекты, связанные с доменом URL, обнаружил , что пакет PHP также скомпрометирован.

Пакет phpass — это переносимый PHP-фреймворк для хеширования паролей с более чем 2,5 миллионами установок. Вредоносный код, добавленный в phpass , показывает, что пакет пытается найти «AWS_ACCESS_KEY_ID» и «AWS_SECRET_ACCESS_KEY», прежде чем отправить их обратно в тот же домен, который включен в скомпрометированную библиотеку Python. 

Об изменении CTX в Python с добавлением того же вредоносного кода, добавленного в phpass, первоначально объявил два дня назад пользователь с псевдонимом SocketPuppets. 

Согласно анализу , похоже, что библиотека Python была скомпрометирована после истечения срока действия доменного имени сопровождающего, и злоумышленник зарегистрировал его на прошлой неделе, что позволило им завладеть исходной библиотекой, зарегистрировав соответствующее электронное письмо для получения электронного письма для сброса пароля.

Согласно другому анализу , сопровождающий phpass удалил свою учетную запись, а злоумышленник взял имя пользователя и получил права вместо настоящего сопровождающего, пишет ITPro.

Библиотека Python CTX с тех пор была удалена из индекса пакетов Python, но на момент написания статьи она по-прежнему доступна на GitHub.

Startpack подготовил перечень антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Большинство жертв программ-вымогателей платят и всё равно остаются без данных. 
• Отчет о безопасности Kubernetes говорит о недостатке квалификации. 
• Простая кибератака до сих пор остается одной из самых эффективных: Касперский.
• Магазины приложений для iOS и Android завалены брошенными приложениями.