PyPi 和 PHP package 被劫持,威胁 AWS 凭证安全
重点要点
- 恶意行为者劫持了名为“ctx”的 PyPi 包和“phpass” PHP 包,以实现对 AWS 凭证的提取。
- 这两个包在其各自的代码库中长期未更新,ctx 最后发布于 2014 年 12 月,而 phpass 在 2012 年 8 月最后更新。
- 改动后的包可以将被盗的 AWS 凭证存储到特定网址上,攻击者可能利用未授权的维护者账户访问来发布被后门的包版本。
最近,有关报道指出,恶意行为者通过劫持名为“ctx”的 PyPi 包和“phpass” PHP 包,利用这些包来实施 ,这些信息来自于
的报道。
这两个受损的包在各自的代码库中都已经长时间处于静止状态。根据 SANS Internet Storm Center 的报告,ctx 最后一次发布是在
2014 年 12 月,而 phpass 则在 2012 年 8 月更新。报告指出,这些包经过修改,能够将被盗的 AWS 凭证存储到名为 ‘anti-
theft-web.herokuapp[.]com’ 的网址上。SANS ISC 的 Yee Ching表示:“看来,这个罪犯试图获取所有环境变量,将其编码为 Base64,然后将数据转发到一个控制下的网络应用程序。”
攻击者可能利用了未授权的维护者账户访问,从而发布新的 ctx 版本。Ching补充道:“控制原始域名后,创建一个相应的电子邮件来接收密码重置邮件将是微不足道的。在获得账户访问权限后,罪犯可以删除旧包并上传新的带后门版本。”
相关链接 : –
–
