一名“安全研究人员”因涉嫌劫持一个受欢迎的开源项目而被指控从事不道德活动,他坚称他们的行为并非恶意。上周,正如The Daily Swig先前报道的那样,社交媒体用户向Python包索引(PyPI)存储库发出了潜在恶意或被劫持的包CTX的警告。
5月22日,Reddit用户SocketPuppets在网上推广了这个包,声称它在休眠了大约八年后收到了更新。
CTX Python库在GitHub和PyPI上都可用。然而,不久之后,Reddit线程上的参与者强调GitHub包没有与PyPI存储库同时更新。
更糟糕的是,据称负责人还破坏了另一个包phpass。
印度黑客Somdev Sangwan说:“Python的CTX库和PHP的phpass的一个分支已被入侵。”
估计有300万次下载,Python包已被篡改,以将环境变量(例如AWS密钥)发送到通向Heroku应用程序的外部URL。
一旦收到异常警报,PyPI删除了CTX包,解释说在犯罪者为原开发者使用的过期电子邮件地址购买域名后,添加了渗透方法,并给自己发送了恢复密码,并接管了该帐户。
在2022年5月14日至5月22日期间安装该软件包的用户可能已经链接了环境变量和凭据。
SocketPuppets(帐户已被删除)试图为自己的行为辩护,声称异常活动是由于“新公司帐户”造成的。
被指控该活动的个人随后发表了一篇Medium博客文章以分享他们的“故事的一面”。
“所有这些研究都不包含任何恶意活动,”艾丁说。“我想展示这种简单的攻击如何影响超过1000万用户和公司。我收到的所有数据都已删除且未使用。”
根据Aydin的说法,一个“抓取工具”和一个机器人被用来接管包裹。注册过期域名需要5美元。
Aydin补充说,他于5月15日向漏洞赏金平台HackerOne发送了一份报告,该报告在一天后作为副本关闭。
他们的HackerOne配置文件似乎没有显示相关的错误报告。
Sangwan在接受采访时表示,该漏洞“从未被负责任地披露”,并且“这是一次实际攻击”。
Sangwan补充说:“在接管该包后,攻击者在Reddit上发布了有关它的信息…当其他用户开始怀疑时,我发现了另一个他们已经泄露的包。袭击者出来并声称他这样做是为了“研究”。
“用窃取人们密码的后门版本替换流行软件绝非研究。”
评论已关闭。