ChainJacking: Secuestran Paquetes PHP Y PyPi Populares

Módulo PyPI 'ctx'

El módulo PyPI 'ctx', descargado más de 20.000 veces a la semana, ha sido comprometido en un ataque a la cadena de suministro de software con versiones maliciosas que roban las variables de entorno del desarrollador. El paquete fue comprometido en algún momento de este mes con nuevas versiones que roban variables de entorno a un servidor externo.

'ctx' es un módulo mínimo de Python que permite a los desarrolladores manipular sus objetos de diccionario ('dict') de varias formas. El paquete, aunque popular, no había sido tocado desde 2014 por su desarrollador. Sin embargo, en mayo surgieron versiones nuevas que contenían código malicioso:

El actor de amenazas incluso reemplazó las versiones antiguas y seguras de 'ctx' con un código que filtra las variables de entorno del desarrollador para recopilar secretos como claves y credenciales de Amazon AWS.

Se supone que un compromiso de la cuenta del mantenedor condujo al secuestro del paquete PyPI 'ctx', pero aún no hemos descubierto la causa real.

Aunque PyPI eliminó las versiones maliciosas de 'ctx' desde hace unas horas, las copias recuperadas de los archivos de malware de Sonatype muestran la presencia de código malicioso en todas las versiones de 'ctx'. Es de destacar que la versión 0.1.2 que no se había tocado desde 2014 y debe ser tomada como confiable.

PHP package PHPass

Además, las versiones de una bifurcación 'PHPass' publicadas en el repositorio de paquetes de PHP/Composer, Packagist, habían sido alteradas para robar secretos de manera similar. PHPass framework tiene más de 2,5 millones de descargas en el repositorio de Packagist desde 2005, aunque se cree que las descargas de versiones maliciosas son mucho más limitadas. PHPass es un framework de hashing de contraseñas de código abierto que los desarrolladores pueden utilizar en aplicaciones PHP.

El hacker ético Somdev Sangwan informó que el paquete PHPass fue comprometido con versiones contaminadas de la biblioteca, las cuales que roban las claves secretas de AWS del desarrollador:

Una vez instaladas, estas versiones recopilan todas las variables del entorno y suben esos valores en un servidor de Heroku.

Dentro de PHPass, el archivo 'PasswordHash.php' modificado busca específicamente los valores 'AWS_ACCESS_KEY' y 'AWS_SECRET_KEY' en el entorno afectado.

La presencia de lógica idéntica y el uso común de Heroku dentro de los paquetes PyPI y PHP indican que un actor de amenazas común es responsable de ambos secuestros.

Además, aunque el paquete malicioso de PyPI 'ctx' estuvo activo varios días, el impacto de las versiones maliciosas de 'PHPass' parece haber sido mucho más limitado después de que el cofundador de Packagist, Jordi Boggiano, marcara el repositorio secuestrado como "abandonado" y señalara a todos use bordoni/phpass en su lugar:

Este tipo de ataque ha sido previamente llamado repo jacking. Más recientemente, Intezer y Checkmarx publicaron un informe conjunto basado en esta investigación y cómo podría impactar en los proyectos de Go, llamando al ataque "chainjacking".

Este incidente de secuestro son similares los ocurridos en el paque PyPi que permitía abrir puertas traseras en Windows, Linux y Mac.

A principios de este año, las bibliotecas npm muy populares, ua-parser-js, 'coa' and 'rc' habían sido secuestradas para servir a los criptomineros y ladrones de credenciales.

Después de estos ataques, GitHub exigió la autenticación de dos factores para los mantenedores de los paquetes Top 100 npm y anunció mejoras de seguridad adicionales.

Fuente: BC


Via: blog.segu-info.com.ar
ChainJacking: Secuestran Paquetes PHP Y PyPi Populares ChainJacking: Secuestran Paquetes PHP Y PyPi Populares Reviewed by Zion3R on 15:20 Rating: 5