Bir yazılım tedarik zinciri saldırısında, geliştiricinin çevre değişkenlerini çalan kötü amaçlı sürümlerle bir yazılım tedarik zinciri saldırısında tehlikeye atılan PYPI modülü 'CTX'.
Tehdit oyuncusu, Amazon AWS anahtarları ve kimlik bilgileri gibi sırları toplamak için 'CTX'in eski, güvenli sürümlerini geliştiricinin ortam değişkenlerini açıklayan kodla değiştirdi.
Ayrıca, PHP/Composer Paket Deposu Paketçisine yayınlanan bir 'Phpass' çatalının sürümleri, sırları benzer şekilde çalmak için değiştirildi.
Phpass Framework, Packagist deposunda ömrü boyunca 2,5 milyondan fazla indirme yapmıştır - kötü amaçlı sürümlerin indirmelerinin çok daha sınırlı olduğuna inanılmaktadır.
Ağır indirilen PYPI paketi 'CTX' bu ay, çevre değişkenlerinizi harici bir sunucuya açığa çıkaran yeni yayınlanan sürümlerle tehlikeye atıldı.
'CTX', geliştiricilerin sözlük ('Dict') nesnelerini çeşitli şekillerde manipüle etmelerini sağlayan minimal bir Python modülüdür. Paket, popüler olmasına rağmen, BleepingComputer tarafından görüldüğü gibi, 2014 yılından bu yana geliştiricisi tarafından dokunulmamıştı. Ancak, 15 Mayıs'tan itibaren bu hafta daha yeni sürümler ortaya çıktı ve kötü amaçlı kod içeriyordu:
Bir Reddit kullanıcısı Jimtk ilk olarak tehlikeye atılan 'CTX' paketini fark etti.
Etik hacker Somdev Sangwan ayrıca, PHP paketinin 'phpass' ın, Kütüphane Geliştiricisinin AWS Secret Anahtarlarını çalan lekeli versiyonlarından ödün verildiğini bildirdi:
UYARMAK Python'un CTX kütüphanesi ve PHP'nin PHPass çatalı tehlikeye atıldı. 3 milyon kullanıcı birleştirildi. Kötü niyetli kod, tüm çevre değişkenlerini AWS kimlik bilgilerini benimseyecek bir Heroku uygulamasına gönderir.
Bu iddialar, bir parçası olduğum Sonatype Güvenlik Araştırma Ekibi tarafından denetlendi.
PYPI, birkaç saat önce kötü amaçlı 'CTX' sürümlerini devralmış olsa da, SonatyPe'nin kötü amaçlı yazılım arşivlerinden alınan kopyalar tüm 'CTX' sürümlerinde kötü amaçlı kod varlığını göstermektedir. Dikkat çekici bir şekilde, 2014'ten bu yana dokunulmayan 0.1.2 versiyonu da bu hafta kötü niyetli yükle değiştirildi:
Kurulduktan sonra, bu sürümler tüm çevre değişkenlerinizi toplar ve bu değerleri aşağıdaki Heroku uç noktasına yükleyin:
Analizimiz sırasında, son nokta artık aktif değildi.
Aynı saldırıda, son derece popüler bir besteci/PHP paketinin çatalı, 'Hautelook/Phpass', Packagist deposuna yayınlanan kötü amaçlı sürümlerle tehlikeye atıldı.
Phpass, PHP uygulamalarında geliştiriciler tarafından kullanılabilecek açık kaynaklı bir parola karma çerçevesidir. 2005 yılında piyasaya sürülen çerçeve, ömrü boyunca Packagist'e 2,5 milyondan fazla indirildi.
BleepingCompuer, bu hafta PHPass projesine benzer bir şekilde çalan kötü niyetli taahhütleri gözlemledi.
PHPass içinde, değiştirilmiş 'Passseshash.php' dosyası özellikle ortamınızdaki 'AWS_ACCESS_KEY' ve 'AWS_SECRET_KEY' değerlerini arar. Bu sırlar daha sonra aynı Heroku uç noktasına yüklenir.
PYPI ve PHP paketleri içinde aynı mantık ve Heroku uç noktalarının varlığı, bu kaçırma her ikiinden de sorumlu ortak bir tehdit oyuncusu olduğunu gösterir.
Araştırmacılar, saldırganın kimliğinin açık olduğunu iddia ediyorlar. Bununla birlikte, bu bir POC egzersizi yanlış gitmiş olabilir ve daha fazla bilgi ortaya çıkana kadar, henüz 'CTX' ve 'phpass' kaçırma arkasındaki kişiye isim vermek sorumsuz olurdu.
Ayrıca, kötü niyetli pypi paketi 'CTX' bugüne kadar canlı olsa da, kötü niyetli 'phpass' sürümlerinden etkisi, Packagist'in kurucu ortağı Jordi Boggiano, kaçırılan depoyu "terk edilmiş" olarak işaretledikten sonra çok daha sınırlı görünüyor ve herkesi herkese işaret ettikten sonra Bunun yerine Bordoni/Phpass kullanın:
Neyse ki Hautelook/phpass paketi, Eylül ayından bu yana son zamanlarda çok fazla yükleme görmedi https://t.co/qdqyslrk2t - Şimdi Afaik'in tehlikeye atılmadığı Bordoni/Phpass repo'ya işaret etmek için yeniden bağlandım?
Bir bakıcı hesabından ödün vermenin PYPI paketinin 'CTX'in kaçırılmasına yol açtığı iddia ediliyor, ancak henüz gerçek nedeni bulamadık.
Ancak, HautePass/PHPass'ın uzlaşması, daha önce terk edilmiş bir GitHub deposunu iddia eden ve bu depoyu Packagist kayıt defterine değiştirilmiş 'phpass' sürümlerini yayınlamak için yeniden canlandıran saldırgana atfedildi.
Bu tür saldırılar daha önce siber güvenlik firması güvenlik inovasyonu tarafından Repo Jacking olarak adlandırılmıştır. Daha yakın zamanlarda, Intezer ve CheckMarx, bu araştırma ve GO projelerini nasıl etkileyebileceği hakkında ortak bir rapor binası yayınladı ve "Chainjacking" saldırısını dublaj etti.
Bu kaçırma olayı, Windows, Linux ve Mac'lerde arka planda piyasaya sürüldüğünde yakalanan bir PYPI yazım hatası raporumuzu takip ediyor.
Bu yılın başlarında, büyük popüler NPM kütüphaneleri, UA-Parser-JS, 'CoA' ve 'RC' kripto madencileri ve kimlik bilgisi stealer'ları sunmak için kaçırıldı.
Bu saldırıları takiben Github, Top 100 NPM paketinin bakımcılar için iki faktörlü kimlik doğrulamasını zorunlu kıldı ve ek güvenlik geliştirmeleri duyurdu.
Tehdit aktörlerinin ve böcek ödül avcılarının devam eden eğilimi, yazılım tedarik zincirine sızmak için yeni taktikler buluyor, diğer yazılım kayıtlarının yöneticilerini benzer geliştirmeler sunmaya yönlendirebilir.
H/t Ilkka Turunen ipucu için.
Açık Kaynak 'Paket Analizi' Aracı Kötü niyetli NPM, PYPI Paketleri Bulur
Kötü niyetli PYPI paketi Windows, Linux ve Mac'lerde arka kapı açıyor
Taşlarınızı Kontrol Edin: Rubygems Yetkisiz Paket Takip Hatası Düzeltiyor
NPM Koşusu, saldırganların kötü amaçlı paketlere bakıcı olarak kimseyi eklemesine izin ver
Üçüncü NPM Protesto yazılımı: 'Etkinlik-Source-Polyfill' Rusya'yı Çağırıyor
Kaynak: Bleeping Computer