Un « chercheur en sécurité » accusé d’activités contraires à l’éthique par le détournement présumé d’un projet open source populaire insiste sur le fait que ses actions n’étaient pas malveillantes.

La semaine dernière, comme indiqué précédemment par La gorgée quotidienneles utilisateurs des médias sociaux ont alerté le référentiel Python Package Index (PyPI) d’un package potentiellement malveillant ou piraté, CTX.

Le 22 mai, l’utilisateur de Reddit, SocketPuppets, a fait la promotion du package en ligne, affirmant qu’il avait reçu une mise à jour après avoir été inactif pendant environ huit ans.

La bibliothèque CTX Python était disponible sur les deux GitHub et APIPy. Cependant, il ne fallut pas longtemps avant que les participants d’un Fil Reddit a souligné que le package GitHub n’avait pas été mis à jour en même temps que le référentiel PyPI.

Pour aggraver les choses, la personne responsable aurait également compromis un autre package, phpass.

Le hacker indien Somdev Sangwan a déclaré : « La bibliothèque CTX de Python et un fork du phpass de PHP ont été compromis.

Reprise de domaine

Avec environ trois millions de téléchargements combinés, les packages Python avaient été falsifiés pour envoyer des variables environnementales – telles que des clés AWS – à une URL externe menant à une application Heroku.

Une fois alerté de l’anomalie, PyPI a supprimé le package CTX, expliquant que la méthode d’exfiltration avait été ajoutée après qu’un auteur a acheté un nom de domaine pour l’adresse e-mail expirée utilisée par le développeur d’origine, s’est envoyé un mot de passe de récupération et a repris le compte.

Les utilisateurs qui ont installé le package entre le 14 mai et le 22 mai 2022 ont peut-être eu des variables d’environnement et des informations d’identification liées compromises.

SocketPuppets (compte supprimé depuis) ​​a tenté de défendre ses actions, affirmant que l’activité inhabituelle était due à un « nouveau compte d’entreprise ».

L’individu accusé de l’activité a ensuite publié un Article de blog moyen pour partager leur « côté de l’histoire ».

« Toutes ces recherches NE contiennent AUCUNE activité malveillante », a déclaré Aydin. « Je veux montrer comment cette simple attaque affecte +10 millions d’utilisateurs et d’entreprises. TOUTES LES DONNÉES QUE J’AI REÇUES SONT SUPPRIMÉES ET NON UTILISÉES.

« Jamais divulgué de manière responsable »

Selon Aydin, un «outil de grattage» et un bot ont été utilisés pour prendre en charge les packages. Il en coûte 5 $ pour enregistrer le domaine expiré.

Aydin a ajouté qu’il avait envoyé un rapport à la plate-forme de bug bounty HackerOne le 15 mai qui a été fermé en double un jour plus tard.

Leur Profil HackerOne ne semble pas afficher de rapport de bogue associé.

Parler à La gorgée quotidienneSangwan a déclaré que la vulnérabilité « n’a jamais été divulguée de manière responsable » et « il s’agissait d’une véritable attaque ».

Sangwan a ajouté : « Après avoir repris le paquet, l’attaquant l’a publié sur Reddit… et lorsque d’autres utilisateurs ont commencé à se méfier et j’ai découvert un autre paquet qu’ils avaient compromis. L’agresseur est sorti et a affirmé qu’il l’avait fait pour la « recherche ».

« Remplacer un logiciel populaire par une version dérobée qui vole le mot de passe[s] de personnes est tout sauf de la recherche.