Злоумышленники получили контроль над Python-пакетом ctx и PHP-библиотекой phpass
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Неизвестные злоумышленники получили контроль над Python-пакетом ctx и PHP-библиотекой phpass, после чего разместили обновления с вредоносной вставкой, которая отправляла на внешний сервер содержимое переменных окружения с расчётом на кражу токенов к AWS и системам непрерывной интеграции. По имеющейся статистике Python-пакет 'ctx' загружается из репозитория PyPI около 22 тысяч раз в неделю. PHP-пакет phpass распространяется через репозиторий Composer и за всё время был загружен более 2.5 млн раз.
В ctx вредоносный код был размещён 15 мая в выпуске 0.2.2, 26 мая в выпуске 0.2.6, а также 21 мая был подменён старый релиз 0.1.2, изначально сформированный в 2014 году. Предполагается, что доступ был получен в результате компрометации учётной записи разработчика.
Что касается PHP-пакета phpass, то вредоносный код был интегрирован через регистрацию нового GitHub-репозитория с тем же именем hautelook/phpass (владелец оригинального репозитория удалил свою учётную запись hautelook, чем воспользовался злоумышленник и зарегистрировал новую учётную запись с тем же именем и разместил под ней репозиторий phpass с вредоносным кодом). Пять дней назад в репозиторий было добавлено изменение, отправляющее на внешний сервер содержимое переменных окружения AWS_ACCESS_KEY и AWS_SECRET_KEY.
Попытка размещения вредоносного пакета в репозитории Composer была оперативно заблокирована и скомпрометированный пакет hautelook/phpass был перенаправлен на пакет bordoni/phpass, продолжающий развитие проекта. В ctx и phpass переменные окружения отправлялись на один и тот же сервер "anti-theft-web.herokuapp[.]com", что свидетельствует о том, что атаки по захвату пакетов были проведены одним лицом.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://blog.sonatype.com/pypi...)
- OpenNews: Уязвимость в GitLab, позволяющая получить доступ к токенам Runner
- OpenNews: В каталоге Python-пакетов PyPI выявлены три вредоносные библиотеки
- OpenNews: Уязвимость в Travis CI, приводящая к утечке ключей публичных репозиториев
- OpenNews: Уязвимость в cdnjs, позволившая выполнить код на серверах Cloudflare
- OpenNews: Внедрение вредоносного кода в скрипт Codecov привело к компрометации PGP-ключа HashiCorp
Похожие новости:
- Уязвимость в Python, позволяющая вызвать системные команды из изолированных скриптов
- Проект PyScript развивает платформу для выполнения Python-скриптов в web-браузере
- Bloomberg открыл код memray, инструмента профилирования памяти для Python
- Выпуск SciPy 1.8.0, библиотеки для научных и инженерных расчётов
- В 3.6% протестированных Python-репозиториев выявлены ошибки, связанные с пропущенными запятыми
- Выпуск Python-библиотеки для научных вычислений NumPy 1.22.0
- В основной ветке Python появилась возможность сборки для работы в браузере
- Релиз языка программирования PHP 8.1
- Объявлено о создании организации PHP Foundation
- Выпуск Nuitka 0.6.17, компилятора для языка Python
Теги для поиска: #_php, #_python
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 23:47
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Неизвестные злоумышленники получили контроль над Python-пакетом ctx и PHP-библиотекой phpass, после чего разместили обновления с вредоносной вставкой, которая отправляла на внешний сервер содержимое переменных окружения с расчётом на кражу токенов к AWS и системам непрерывной интеграции. По имеющейся статистике Python-пакет 'ctx' загружается из репозитория PyPI около 22 тысяч раз в неделю. PHP-пакет phpass распространяется через репозиторий Composer и за всё время был загружен более 2.5 млн раз. В ctx вредоносный код был размещён 15 мая в выпуске 0.2.2, 26 мая в выпуске 0.2.6, а также 21 мая был подменён старый релиз 0.1.2, изначально сформированный в 2014 году. Предполагается, что доступ был получен в результате компрометации учётной записи разработчика.  Что касается PHP-пакета phpass, то вредоносный код был интегрирован через регистрацию нового GitHub-репозитория с тем же именем hautelook/phpass (владелец оригинального репозитория удалил свою учётную запись hautelook, чем воспользовался злоумышленник и зарегистрировал новую учётную запись с тем же именем и разместил под ней репозиторий phpass с вредоносным кодом). Пять дней назад в репозиторий было добавлено изменение, отправляющее на внешний сервер содержимое переменных окружения AWS_ACCESS_KEY и AWS_SECRET_KEY. Попытка размещения вредоносного пакета в репозитории Composer была оперативно заблокирована и скомпрометированный пакет hautelook/phpass был перенаправлен на пакет bordoni/phpass, продолжающий развитие проекта. В ctx и phpass переменные окружения отправлялись на один и тот же сервер "anti-theft-web.herokuapp[.]com", что свидетельствует о том, что атаки по захвату пакетов были проведены одним лицом. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 23:47
Часовой пояс: UTC + 5