安全“研究人员”回击恶意CTX文件上传的说法

admin 2022年6月11日22:15:47安全新闻评论12 views995字阅读3分19秒阅读模式

一名“安全研究人员”因涉嫌劫持一个受欢迎的开源项目而被指控从事不道德活动,他坚称他们的行为并非恶意。上周,正如The Daily Swig先前报道的那样,社交媒体用户向Python包索引(PyPI)存储库发出了潜在恶意或被劫持的包CTX的警告。


安全“研究人员”回击恶意CTX文件上传的说法


5月22日,Reddit用户SocketPuppets在网上推广了这个包,声称它在休眠了大约八年后收到了更新。


CTX Python库在GitHub和PyPI上都可用。然而,不久之后,Reddit线程上的参与者强调GitHub包没有与PyPI存储库同时更新。


更糟糕的是,据称负责人还破坏了另一个包phpass。


印度黑客Somdev Sangwan说:“Python的CTX库和PHP的phpass的一个分支已被入侵。”


估计有300万次下载,Python包已被篡改,以将环境变量(例如AWS密钥)发送到通向Heroku应用程序的外部URL。


一旦收到异常警报,PyPI删除了CTX包,解释说在犯罪者为原开发者使用的过期电子邮件地址购买域名后,添加了渗透方法,并给自己发送了恢复密码,并接管了该帐户


在2022年5月14日至5月22日期间安装该软件包的用户可能已经链接了环境变量和凭据。


SocketPuppets(帐户已被删除)试图为自己的行为辩护,声称异常活动是由于“新公司帐户”造成的。


被指控该活动的个人随后发表了一篇Medium博客文章以分享他们的“故事的一面”。


“所有这些研究都不包含任何恶意活动,”艾丁说。“我想展示这种简单的攻击如何影响超过1000万用户和公司。我收到的所有数据都已删除且未使用。”


根据Aydin的说法,一个“抓取工具”和一个机器人被用来接管包裹。注册过期域名需要5美元。


Aydin补充说,他于5月15日向漏洞赏金平台HackerOne发送了一份报告,该报告在一天后作为副本关闭。


他们的HackerOne配置文件似乎没有显示相关的错误报告。


Sangwan在接受采访时表示,该漏洞“从未被负责任地披露”,并且“这是一次实际攻击”。


Sangwan补充说:“在接管该包后,攻击者在Reddit上发布了有关它的信息…当其他用户开始怀疑时,我发现了另一个他们已经泄露的包。袭击者出来并声称他这样做是为了“研究”。


“用窃取人们密码的后门版本替换流行软件绝非研究。”


原文始发于微信公众号(郑州网络安全):安全“研究人员”回击恶意CTX文件上传的说法

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月11日22:15:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  安全“研究人员”回击恶意CTX文件上传的说法 http://cn-sec.com/archives/1109197.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: