Py包被发现将被盗的AWS密钥发送到不安全的站点

admin
admin
admin
138858
文章
114
评论
2022年6月27日01:07:57评论38 views字数 1003阅读3分20秒阅读模式
PyPI是一个开源包的存储库,软件开发人员使用它来挑选基于Python的项目的构建块或与社区分享他们的工作。PyPI存储库中可用的多个恶意Python程序包被发现窃取AWS凭证等敏感信息,并将其传输到任何人都可以访问的公开暴露的端点。虽然PyPI通常可以快速响应平台上的恶意包报告,但在提交之前没有真正的审查,因此危险包可能会潜伏一段时间。
Py包被发现将被盗的AWS密钥发送到不安全的站点
像Sonatype这样的软件供应链安全公司使用专门的自动恶意软件检测工具来发现它们,在这种情况下,他们将以下软件包识别为恶意软件:

  • loglib-modules

  • pyg-modules

  • pygrata

  • pygrata-utils

  • hkg-sol-utils

虽然前两个包试图模仿PyPI上的合法和流行项目,以诱骗粗心或没有经验的用户安装它们,而其他三个包没有明显的目标,但所有五个功能代码都有相似之处或联系。


暴露被盗数据

安全分析师认为,“loglib-modules”和“pygrata-utils”包是为数据泄露、获取AWS凭证、网络接口信息和环境变量而创建的。
Py包被发现将被盗的AWS密钥发送到不安全的站点

有趣的是,“pygrata”本身不包含数据窃取功能,但需要“pygrata-utils”作为依赖项。这就是为什么,尽管已经报告了四个恶意程序包并立即从PyPI中删除,但“pygrata”仍然存在更长时间,尽管它自己不能做太多事情。被盗数据存储在TXT 文件中并上传到PyGrata[.]com域。但是,端点没有得到适当的保护,因此分析师可以窥探威胁者窃取的内容。

Py包被发现将被盗的AWS密钥发送到不安全的站点
出于道德和假设他们可能遗漏了什么,两位分析师联系了域名所有者,告知他们公开曝光并要求解释。不久之后,在Sonatype没有收到任何答复的情况下,该端点就被禁止公开访问。这可能意味着这些包的用途和数据托管域是不合法的。即使这些包被用于合法的安全测试,并且它们背后的运营商从未打算利用被盗的详细信息,它们在PyPI上的存在也可能使“非自愿参与者”面临重大风险,因为他们的凭据最终被暴露。


PyPI安全性

由于这些恶意程序包没有使用域名抢注技巧,因此它们不是随机针对输入错误字符的开发人员,而是针对为他们的项目寻找特定工具的用户。

Py包被发现将被盗的AWS密钥发送到不安全的站点
建议软件开发人员超越软件包名称,仔细检查发布历史、上传日期、主页链接、软件包描述和下载编号,所有这些都有助于确定Python软件包是真货还是危险的假货。

Py包被发现将被盗的AWS密钥发送到不安全的站点

原文始发于微信公众号(雾晓安全):Py包被发现将被盗的AWS密钥发送到不安全的站点

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月27日01:07:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Py包被发现将被盗的AWS密钥发送到不安全的站点https://cn-sec.com/archives/1144491.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息