Librerie Python e PHP ampiamente utilizzate compromesse
PyPI ha presto eliminato le versioni ctx dannose, tuttavia, i rapporti indicano ancora la presenza di codice dannoso all’interno di tutte le versioni ctx.
In un attacco alla catena di fornitura del software, il modulo PyPI ctx è stato compromesso. Con questo attacco, la versione più sicura di questo modulo (che viene scaricato 20.000 volte a settimana) è stata sostituita con codice che esfiltra le variabili di ambiente dello sviluppatore per raccogliere codici segreti come le chiavi Amazon AWS.
“Ctx” è un modulo Python minimo che consente agli sviluppatori di manipolare gli oggetti “dict” del dizionario in diversi modi. È interessante notare che, dopo essere rimasti intatti per 8 anni, le versioni più recenti hanno iniziato a emergere il 15 maggio e contenevano codice dannoso. PyPI ha presto eliminato le versioni ctx dannose, tuttavia, i rapporti indicano ancora la presenza di codice dannoso all’interno di tutte le versioni ctx.
Inoltre, le versioni degli aggressori del fork di PHPass, pubblicate nel repository di pacchetti PHP/Composer Packagist, sono state modificate per rubare chiavi e credenziali riservate. PHPass è un framework di hashing delle password open source che può essere utilizzato nelle applicazioni PHP. Rilasciato nel 2005, il framework è stato scaricato oltre 2,5 milioni di volte su Packagist. Secondo i rapporti, questa settimana sono stati effettuati commit dannosi al progetto PHPass per rubare variabili d’ambiente.
La presenza di una logica identica e di endpoint Heroku all’interno dei pacchetti PyPI e PHP indica che un comune attore di minacce è responsabile di entrambi questi dirottamenti. Sebbene ci siano pochi sospetti sull’identità degli aggressori, gli esperti non escludono la possibilità che un esercizio PoC sia andato storto.