安全“研究人员”回击恶意CTX文件上传的说法

一名“安全研究人员”因涉嫌劫持一个受欢迎的开源项目而被指控从事不道德活动，他坚称他们的行为并非恶意。上周，正如The Daily Swig先前报道的那样，社交媒体用户向Python包索引(PyPI)存储库发出了潜在恶意或被劫持的包CTX的警告。

5月22日，Reddit用户SocketPuppets在网上推广了这个包，声称它在休眠了大约八年后收到了更新。

CTX Python库在GitHub和PyPI上都可用。然而，不久之后，Reddit线程上的参与者强调GitHub包没有与PyPI存储库同时更新。

更糟糕的是，据称负责人还破坏了另一个包phpass。

印度黑客Somdev Sangwan说：“Python的CTX库和PHP的phpass的一个分支已被入侵。”

估计有300万次下载，Python包已被篡改，以将环境变量（例如AWS密钥）发送到通向Heroku应用程序的外部URL。

一旦收到异常警报，PyPI删除了CTX包，解释说在犯罪者为原开发者使用的过期电子邮件地址购买域名后，添加了渗透方法，并给自己发送了恢复密码，并接管了该帐户。

在2022年5月14日至5月22日期间安装该软件包的用户可能已经链接了环境变量和凭据。

SocketPuppets（帐户已被删除）试图为自己的行为辩护，声称异常活动是由于“新公司帐户”造成的。

被指控该活动的个人随后发表了一篇Medium博客文章以分享他们的“故事的一面”。

“所有这些研究都不包含任何恶意活动，”艾丁说。“我想展示这种简单的攻击如何影响超过1000万用户和公司。我收到的所有数据都已删除且未使用。”

根据Aydin的说法，一个“抓取工具”和一个机器人被用来接管包裹。注册过期域名需要5美元。

Aydin补充说，他于5月15日向漏洞赏金平台HackerOne发送了一份报告，该报告在一天后作为副本关闭。

他们的HackerOne配置文件似乎没有显示相关的错误报告。

Sangwan在接受采访时表示，该漏洞“从未被负责任地披露”，并且“这是一次实际攻击”。

Sangwan补充说：“在接管该包后，攻击者在Reddit上发布了有关它的信息…当其他用户开始怀疑时，我发现了另一个他们已经泄露的包。袭击者出来并声称他这样做是为了“研究”。

“用窃取人们密码的后门版本替换流行软件绝非研究。”

原文始发于微信公众号（郑州网络安全）：安全“研究人员”回击恶意CTX文件上传的说法