Saldırganlar, Ortam Değişkenlerini Çalmak İçin PyPI Paketini Ve PHP Kütüphanesini Tehlikeye Attı

Google News Abone Ol

Saldırganlar, Ortam Değişkenlerini Çalmak İçin PyPI Paketini Ve PHP Kütüphanesini Tehlikeye Attı

Sonatype'taki siber güvenlik uzmanları, popüler bir Python paketi olan 'ctx'e yapılan son saldırıların, meşru bir sürümün kötü amaçlı bir sürümle değiştirilmesiyle sonuçlandığını tespit etti. Kötü amaçlı yazılım, saldırganların AWS'ye erişmek için kimlik bilgileri edinmesine izin verecek şekilde programlanmıştır.

Dahası, "phpass" olarak bilinen forked bir PHP projesi de bir repo kaçırma saldırısında aynı kötü amaçlı payload ile tehlikeye atıldı. Ctx, ortalama olarak haftada 22.000'den fazla indirme alan ve geliştiricilere basit ama eksiksiz bir dict/objects listesi sunan bir Python paketidir.

Sonatype-2022-3060, "ctx" in güvenliği ihlal edilmiş sürümlerine atanan tanımlayıcıdır. Öte yandan Packagist, güvenliği ihlal edilmiş 'phpass' versiyonlarını zaten içeriyordu.

Kullanım ömrü boyunca, PHPass çerçevesi Packagist deposu aracılığıyla 2,5 milyondan fazla kez indirildi. Bununla birlikte, kötü amaçlı sürümlerin sayısının önemli ölçüde daha az olduğuna inanılmaktadır.

'ctx' Kötü Amaçlı Yazılımla Değiştirildi

Ctx paketi için PyPI kayıt defterinde, 0.1.2'nin en son sürümü, aşağıdaki resimde gördüğünüz gibi, bu haftaya kadar 19 Aralık 2014'ün yayın tarihini gösterdi:

Saldırganlar, Ortam Değişkenlerini Çalmak İçin PyPI Paketini Ve PHP Kütüphanesini Tehlikeye Attı

Buna ek olarak, 0.2.2, 0.2.6 ve üstü dahil olmak üzere kötü amaçlı kod içeren daha yeni sürümler ortaya çıkıyor:

Saldırganlar, Ortam Değişkenlerini Çalmak İçin PyPI Paketini Ve PHP Kütüphanesini Tehlikeye Attı

21 Mayıs 2022'den bu yana, "ctx" sürüm 0.1.2, PyPI kayıt defterinden kaldırılmış ve bu dosyanın içeriğini içerecek şekilde yukarıda gösterilen kodla değiştirilmiştir.

Ortam değişkenlerinizin numaralandırılmış bir listesini temel alan basit kod, bunlara base64 kodlaması uygular ve bunları uç noktaya (endpoint) yükler.

Görünüşe göre birkaç Reddit kullanıcısı bu olayı öğrendi ve PyPI'nin kötü amaçlı sürümlerini PyPI kayıt defterine zaten bildirdiklerini bildiriyorlar.

PyPI'nin güvenli 0.1.2 sürümünün en son kopyasını kullanıyor olsanız da, PyPI'deki en son sürüm bugün yakalandığı gibi kötü amaçlı kod içeriyor gibi görünmektedir, bu nedenle durum tespiti yapmak ve uygulamanızda bulunanları incelemek akıllıca olacaktır.

'PHPass' Packagist Projesi de Tehlikeye Girdi

'PHPass' Packagist projesi de PHP deposunun forked bir istismar tarafından tehlikeye atıldı. Geliştiricilerin AWS kimlik bilgilerini ihlal ediyor gibi görünen iki saldırı vardır ve bu saldırıların her ikisi de bunu yapmak için ortam değişkenlerini çaldığını iddia eder.

Kullanılabilir tüm ortam değişkenlerini hedefleyen 'Ctx'in başka bir kötü amaçlı sürümü olsa da. 'Phpass' GitHub'a 5 gün boyunca committed edilmiş gibi görünüyor ve bu uç noktadan (endpoint) commits var.

Dahası, Sonatype tarafından 'hautelook/phpass'ın yaygın olarak kurulmadığı ve bu yüzden sorunları içerdikleri iddia edilmiştir.

Birkaç açık kaynaklı depo, yazılım tedarik zincirinin önemli bileşenleridir. Maven, NPM, Paketler, PyPi ve RubyGems en popülerleri arasındadır.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.

Kaynak: Cyber Security News

Sonraki Gönderi Önceki Gönderi
Yorum yok
Yorum Ekle
comment url