Un package Python malveillant et potentiellement piraté, CTX, a été supprimé du référentiel Python Package Index (PyPI) après que les utilisateurs des médias sociaux ont alerté l’équipe de sa présence.

Le 24 mai, le hacker indien Somdev Sangwan a alerté les développeurs sur Twitter d’un problème de sécurité potentiel affectant la bibliothèque CTX de Python. Dans un tweetSangwan a dit :

La bibliothèque CTX de Python et un fork du phpass de PHP ont été compromis. Trois millions d’utilisateurs combinés. Le code malveillant envoie toutes les variables d’environnement à une application Heroku, susceptible d’exploiter Informations d’identification AWS.

Les variables d’environnement peuvent également inclure d’autres formes d’informations d’identification et de clés d’API.

Le chercheur a d’abord été mis au courant du paquet problématique sur un Fil Reddit.

Mise à jour malveillante

Le 22 mai, un utilisateur de Reddit avec le surnom SocketPuppets a déclaré qu’il y avait eu une nouvelle mise à jour de CTX, un projet hébergé à la fois sur GitHub et PyPI.

Le dépôt GitHub pour le projet originalconçu pour les requêtes d’éléments de dictionnaire simples à l’aide d’un logiciel de notation par points pour Python, n’a pas été mis à jour depuis environ huit ans.

« Le PO [original poster] a déclaré qu’il avait été récemment mis à jour, et sur PyPI, il a été mis à jour le 21 mai », a noté Sangwan. « Mais le référentiel GitHub ne reflète aucun changement. »

A NE PAS MANQUER La vulnérabilité critique du CD Argo pourrait accorder aux attaquants des privilèges d’administrateur

Il n’était pas le seul à remettre en cause la mise à jour. Sur le fil Reddit, les utilisateurs ont demandé pourquoi les variables d’environnement avaient été envoyées à une URL – https://web.herokuapp.com/hacked – après avoir examiné le code source du projet open source et pourquoi le référentiel GitHub n’avait pas été mis à jour.

SocketPuppets mentionné: « J’ai créé un nouveau compte d’entreprise et un référentiel pour les nouvelles versions afin que la source soit totalement modifiée. »

SocketPuppets’ historique des messages conduit à une Blogue moyen et les coordonnées les reliant potentiellement à d’autres référentiels GitHub sous le nom « aydinnyunuss ».

Comme l’a noté l’utilisateur de Reddit « antipsychosis », le Compte GitHub appartenant à ce nom, appartenant apparemment à un développeur/étudiant de l’Université de commerce d’Istanbul, est le créateur de GateCracker. Ce logiciel envoie également des requêtes ping aux applications Heroku.

Domaine expiré

La personne responsable du téléchargement du package malveillant sur PyPI a exploité un domaine expiré, acheté le nom, puis obtenu la propriété de l’adresse e-mail enregistrée dans le référentiel d’origine.

En d’autres termes, ils l’ont fait pour s’envoyer un e-mail de récupération de mot de passe et se faire passer pour le responsable du projet d’origine.

Sangwan a également trouvé des preuves d’un phpass faire des compromis. Au total, les packages concernés ont été téléchargés environ trois millions de fois, mais seuls les utilisateurs qui les ont téléchargés au cours de la semaine dernière semblent être concernés.

Le Forfait CTXainsi que d’autres bibliothèques concernées, ont depuis été supprimées du référentiel.

La Fondation Python a déclaré La gorgée quotidienne que le compromis « était d’un seul compte d’utilisateur en raison d’un réenregistrement sur un domaine expiré.

« Le domaine qui hébergeait l’adresse e-mail des utilisateurs a été réenregistré le 2022-05-14T18:40:05Z et une réinitialisation du mot de passe s’est terminée avec succès pour l’utilisateur le 2022-05-14T18:52:40Z », a ajouté l’organisation. « Les versions originales ont ensuite été supprimées et des copies malveillantes téléchargées. »

PyPI lui-même n’a pas été directement compromis.

Dans une suite rédaction, la fondation a noté que les utilisateurs ayant installé le package CTX entre le 14 mai et le 24 mai 2022 étaient impactés. Si les variables d’environnement utilisateur contiennent des données sensibles, l’organisation conseille la rotation des mots de passe et des clés.

SocketPuppets/aydinnyunuss n’a pas répondu aux demandes de commentaires.

La gorgée quotidienne a contacté les mainteneurs du projet CTX et nous mettrons à jour si et quand nous recevrons une réponse.

CONSEILLÉ DBIR 2022 : la montée subite des ransomwares augmente les problèmes mondiaux de violation de données