Вредоносные пакеты Python выгружают ваши секреты AWS онлайн
27 июня 2022 г.Эксперты по безопасности обнаружили несколько вредоносных пакетов Python, из-за которых происходит утечка конфиденциальной информации о пользователях.
В сообщении блога Исследователь безопасности Sonatype Акс Шарма говорит, что пакеты: loglib-modules, pyg-modules, pygrata, pygrata-utils и hkg-sol-utils извлекали секреты людей, такие как учетные данные AWS и переменные среды, и загружали их в общедоступная конечная точка.
Некоторые, как следует из их названий, были нацелены на разработчиков, знакомых с библиотеками loglib и pyg, в то время как у других были неизвестные цели.
Поделитесь своими мыслями по кибербезопасности и получите бесплатную копию Руководства хакера 2022. Помогите нам узнать, как компании готовятся к миру после пандемии COVID-19, и влияние этих действий на их планы кибербезопасности. Введите свой адрес электронной почты в конце этого опроса, чтобы получить книжный журнал стоимостью 10,99 долл. США/10,99 фунта стерлингов.
Неизвестные злоумышленники
Мы не знаем точно, скольким людям были раскрыты их данные, хотя Шарма сказал, что исследователи обнаружили «сотни файлов TXT, содержащих конфиденциальную информацию и секреты».
Чтобы исключить возможность проведения исследования группой безопасности, Sonatype связалась с владельцами pygrata[.]com, но так и не получила ответа. Вскоре после этого истекло время ожидания конечной точки, через которую происходила утечка файлов TXT, что навело исследователей на мысль, что кто-то, должно быть, отключил ее. Кроме того, loglib-modules был быстро извлечен из Интернета, хотя и ненадолго.
Sonatype не удалось выяснить, кто стоит за атакой и какова ее конечная цель.
«Были ли украденные учетные данные преднамеренным раскрытием в веб-сети или следствием плохая практика оперативной безопасности?», — спрашивает Шарма. «Если это какое-то законное тестирование безопасности, в настоящее время, конечно, не так много информации, чтобы исключить подозрительный характер этой деятельности».
Компания пришла к выводу, что вскоре после сообщения обо всех проблемных пакетах команде безопасности PyPI все они были удалены.
Время от времени исследователи обнаруживают вредоносные пакеты в репозиториях с открытым исходным кодом. Ранее в этом году исследователи обнаружили два пакета Python и PHP (ctx и phpass), которые по сути работали как трояны. Позже выяснилось, что за двумя пакетами стоял турецкий исследователь безопасности Юнус Айдын, который продемонстрировал, «как эта простая атака затрагивает более 10 миллионов пользователей и компаний».
Оригинал