Перехвачен контроль над Python-пакетом ctx и PHP-библиотекой phpass (дополнено)

24.05.2022 16:59

Неизвестные злоумышленники получили контроль над Python-пакетом ctx и PHP-библиотекой phpass, после чего разместили обновления с вредоносной вставкой, которая отправляла на внешний сервер содержимое переменных окружения с расчётом на кражу токенов к AWS и системам непрерывной интеграции. По имеющейся статистике Python-пакет 'ctx' загружается из репозитория PyPI около 22 тысяч раз в неделю. PHP-пакет phpass распространяется через репозиторий Composer и за всё время был загружен более 2.5 млн раз.

В ctx вредоносный код был размещён 15 мая в выпуске 0.2.2, 26 мая в выпуске 0.2.6, а также 21 мая был подменён старый релиз 0.1.2, изначально сформированный в 2014 году. Предполагается, что доступ был получен в результате компрометации учётной записи разработчика.

Что касается PHP-пакета phpass, то вредоносный код был интегрирован через регистрацию нового GitHub-репозитория с тем же именем hautelook/phpass (владелец оригинального репозитория удалил свою учётную запись hautelook, чем воспользовался злоумышленник и зарегистрировал новую учётную запись с тем же именем и разместил под ней репозиторий phpass с вредоносным кодом). Пять дней назад в репозиторий было добавлено изменение, отправляющее на внешний сервер содержимое переменных окружения AWS_ACCESS_KEY и AWS_SECRET_KEY.

Попытка размещения вредоносного пакета в репозитории Composer была оперативно заблокирована и скомпрометированный пакет hautelook/phpass был перенаправлен на пакет bordoni/phpass, продолжающий развитие проекта. В ctx и phpass переменные окружения отправлялись на один и тот же сервер "anti-theft-web.herokuapp[.]com", что свидетельствует о том, что атаки по захвату пакетов были проведены одним лицом.

Дополнение: Перехват модулей был совершён исследователем безопасности, претендующим на получение премии за выявления уязвимостей. Судя по опубликованному отчёту пакеты были захвачены через получение доступа к удалённым GitHub-репозиториям проектов. Исследователь написал скрипт, который проанализировал какие из пакетов в PyPI и Composer привязаны к несуществующей учётной записи в GitHub.

Далее был найден способ регистрации репозитория с тем же именем. GitHub запрещает создание репозиториев с именами удалённых проектов, но оказалось, что эту блокировку можно обойти создав репозиторий с тем же именем в произвольной учётной записи, после чего переименовать эту учётную запись в целевую. Например, если нужно зарегистрировать репозиторий user/rep, где учётная запись user удалена, GitHub даст создать повторно пользователя user, но не позволит создать репозиторий rep. Обойти это ограничение можно создав репозиторий rep в учётной записи другого пользователя (например, user1), после чего переименовать этого пользователя в user. В ходе эксперимента удалось получить переменные окружения с более 1000 хостов.

исправить +9 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/57242-php

Ключевые слова: php, python

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (33)

1.1, Fracta1L (ok), 17:46, 24/05/2022 [ответить] [﹢﹢﹢] [ · · · ]	+30 +/–
> владелец оригинального репозитория удалил свою учётную запись hautelook, чем воспользовался злоумышленник и зарегистрировал новую учётную запись с тем же именем Отлично продуман этот момент у гитхаба, зачёт

2.10, Аноним (-), 18:54, 24/05/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Гитхаб куплен Майкрософтом. Косяк Майкрософта.

2.12, onanim (?), 19:25, 24/05/2022 [^] [^^] [^^^] [ответить]

+8 +/–

ещё лучше продумано у Линкедина, Зума, инстаграма и товарищей, я охреневал сидел, пока читал: https://www.securitylab.ru/news/531831.php

- кибержулик регистрирует аккаунт на твою почту, если ты не замечаешь или игнорируешь письмо о регистрации, а позже решаешь всё-таки зарегистрироваться, и указываешь ту же почту, то сайт прикрепляет аккаунт кибержулика к твоему свежезарегистрированному, и жулик получает доступ к новому аккаунту.

а с вот этого параграфа вообще мозг закипел:

> Атака UEC предполагает регистрацию учетной записи на электронный адрес жертвы, после чего злоумышленник отправляет запрос на смену электронной адреса, но не подтверждает его. После того, как жертва сбросит пароль, атакующий подтверждает изменение и получает доступ к учетной записи.

3.28, Аноним (28), 04:11, 25/05/2022 [^] [^^] [^^^] [ответить]	+/–
Там с Гуглом ещё какая то фигня недавно происходила. Китайцы указывают на свои google аккаунты всякие емеил адреса на outlook.com (например) в качестве резервных адресов для восстановления. И на outlook приходит письмо на китайском от Гугла типа подтверждение что вы хотите его прикрепить. Нафига хз. Но спамили знатно пару раз в день, видно что Гугл аккаунт из цифр букв фейковый или чей-то взломанный. Причем в этом же письме через переводчик можно найти ссылку на (внимание) специальную страницу Гугла в которой можно отменить прикрепление данной оутлук почты у китайского аккаунта в качестве резервного. Какие бухие шизоиды это придумывали хз. Причем письма шлёт сам Гугл как системные.

2.36, Neon (??), 18:12, 26/05/2022 [^] [^^] [^^^] [ответить]	+/–
Кстати, не факт, что не было сговора с самим hautelook. Как то плохо верится в такие совпадения внезапные. Один удалил, другой тут же создал такое же

3.38, Annno (?), 08:31, 29/06/2022 [^] [^^] [^^^] [ответить]	+/–
О великий сговор, спецслужбы, бла бла бла, товарищь майор не дремлет, спать нельзя , жить нельзя, все тлен, А на деле, чельчику просто забалось тащить тупую либу от которой не в голове не в *** в нормальном CI

1.5, Аноним (5), 18:25, 24/05/2022 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Да ладно вам, скорее всего автор ctx и развлекается. Это ж обычная телеметрия, бывает и пострашнее (чаще всего).

2.9, Аноним (-), 18:53, 24/05/2022 [^] [^^] [^^^] [ответить]	+3 +/–
"Пострашнее" всегда начанается от такой вот "телеметрии".

2.34, Атон (?), 22:49, 25/05/2022 [^] [^^] [^^^] [ответить]	+/–
>> содержимое переменных окружения AWS_ACCESS_KEY и AWS_SECRET_KEY. > Это ж обычная телеметрия, Ну, ок.

3.35, Аноним (5), 22:56, 25/05/2022 [^] [^^] [^^^] [ответить]	+1 +/–
А это отладочный режим, для удобства.

1.6, ИмяХ (?), 18:42, 24/05/2022 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
PHP-ass

2.11, Аноним (11), 19:24, 24/05/2022 [^] [^^] [^^^] [ответить]	+/–
Ага, phpass с вредоносной вставкой (зондом).

2.18, Онаним (?), 20:53, 24/05/2022 [^] [^^] [^^^] [ответить]	+/–
Именно он.

2.19, Аноним (19), 20:53, 24/05/2022 [^] [^^] [^^^] [ответить]	+/–
как корабль назовешь... ;-)

1.7, user90 (?), 18:45, 24/05/2022 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
> и PHP-библиотекой Это типа дырка в сайте что ли? Но они итак все дырявые))

1.8, Аноним (8), 18:50, 24/05/2022 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
что оказалось, божественная сишечка - последний язык, у которого чистая библиотека? а вы всё - раст...

1.13, Аноним (13), 19:38, 24/05/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Как то по-детски внедрили бэкдор. Видимо автор совсем не парился с его скрытием, а на питоне можно было так завернуть чтобы хотя бы домен не висел открыто в коде, или написать свою либу с бэкдором а в самом проекте просто импортнуть как зависимость. Какие то ленивые жулики стали в последнее время.

2.25, Аноним (-), 22:28, 24/05/2022 [^] [^^] [^^^] [ответить]	+4 +/–
Какой яп такой и бэкдор, нихателось хакеру напрягаться всерьез :)

1.14, Аноним (-), 19:54, 24/05/2022 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Удобные язычки с удобным пакетным менеджером.

2.17, Онаним (?), 20:52, 24/05/2022 [^] [^^] [^^^] [ответить]	–2 +/–
Ну, в пыхе композер только самые отъявленные смузихлёбы отоваривают, для работы он не нужен, поэтому всё ок.

1.15, Аноним (15), 20:30, 24/05/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Куда катится этот мир?

1.16, Онаним (?), 20:51, 24/05/2022 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Любители пупи-композеров в очередной раз пробежались по граблям. Всё нормально.

1.20, Аноним (20), 20:57, 24/05/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А где доброумышленники?

2.21, Аноним (21), 21:41, 24/05/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Я доброумышленник! Пишите номер карты, паспорта и адрес...

2.26, Аноним (-), 22:29, 24/05/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Заняты нанесением пользы и причинением добра.

2.32, Аноним (32), 14:47, 25/05/2022 [^] [^^] [^^^] [ответить]	+/–
На госслужбе

1.22, Аноним (-), 21:51, 24/05/2022 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Видимо ctx было похоже на ctf, а какй-то ass и вовсе сам напрашивался, с таким то названием.

1.27, Саркофандр (?), 23:25, 24/05/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> anti-theft-web.herokuapp[.]com Сейчас окажется, что это был очередной безопасник... надеюсь, что окажется.

2.29, Аноним (-), 07:05, 25/05/2022 [^] [^^] [^^^] [ответить]	–1 +/–
безопасТник...

2.30, Аноним (21), 08:30, 25/05/2022 [^] [^^] [^^^] [ответить]	+/–
И что он работал по настойчивым просьбам трудящихся.

1.31, Аноним (31), 09:43, 25/05/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
PHP Ass

2.33, Онаним (?), 22:18, 25/05/2022 [^] [^^] [^^^] [ответить]	+1 +/–
A Code

1.37, Neon (??), 18:13, 26/05/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Кстати, не факт, что не было сговора с самим hautelook. Как то плохо верится в такие совпадения внезапные. Один удалил, другой быстро создал такое же

игнорирование участников | лог модерирования

Добавить комментарий

Текст: