安全“研究人员”回击恶意CTX文件上传的说法

一名“安全研究人员”因涉嫌劫持一个受欢迎的开源项目而被指控从事不道德活动,他坚称他们的行为并非恶意。上周,正如The Daily Swig先前报道的那样,社交媒体用户向Python包索引(PyPI)存储库发出了潜在恶意或被劫持的包CTX的警告。

5月22日,Reddit用户SocketPuppets在网上推广了这个包,声称它在休眠了大约八年后收到了更新。

CTX Python库在GitHub和PyPI上都可用。然而,不久之后,Reddit线程上的参与者强调GitHub包没有与PyPI存储库同时更新。

更糟糕的是,据称负责人还破坏了另一个包phpass。

印度黑客Somdev Sangwan说:“Python的CTX库和PHP的phpass的一个分支已被入侵。”

估计有300万次下载,Python包已被篡改,以将环境变量(例如AWS密钥)发送到通向Heroku应用程序的外部URL。

一旦收到异常警报,PyPI删除了CTX包,解释说在犯罪者为原开发者使用的过期电子邮件地址购买域名后,添加了渗透方法,并给自己发送了恢复密码,并接管了该帐户。

在2022年5月14日至5月22日期间安装该软件包的用户可能已经链接了环境变量和凭据。

SocketPuppets(帐户已被删除)试图为自己的行为辩护,声称异常活动是由于“新公司帐户”造成的。

被指控该活动的个人随后发表了一篇Medium博客文章以分享他们的“故事的一面”。

“所有这些研究都不包含任何恶意活动,”艾丁说。“我想展示这种简单的攻击如何影响超过1000万用户和公司。我收到的所有数据都已删除且未使用。”

根据Aydin的说法,一个“抓取工具”和一个机器人被用来接管包裹。注册过期域名需要5美元。

Aydin补充说,他于5月15日向漏洞赏金平台HackerOne发送了一份报告,该报告在一天后作为副本关闭。

他们的HackerOne配置文件似乎没有显示相关的错误报告。

Sangwan在接受采访时表示,该漏洞“从未被负责任地披露”,并且“这是一次实际攻击”。

Sangwan补充说:“在接管该包后,攻击者在Reddit上发布了有关它的信息…当其他用户开始怀疑时,我发现了另一个他们已经泄露的包。袭击者出来并声称他这样做是为了“研究”。

“用窃取人们密码的后门版本替换流行软件绝非研究。”

发表评论

评论已关闭。

相关文章