Lorsqu'un référentiel GitHub qui n'a pas été touché depuis près d'une décennie reçoit soudainement une "mise à jour", les utilisateurs doivent se méfier, car il pourrait simplement s'agir d'une prise de contrôle hostile avec l'intention de distribuer des virus (ouvre dans un nouvel onglet).
C'est exactement ce qui s'est passé avec le module PyPI "ctx", qui compte apparemment des millions de téléchargements. Plus tôt ce mois-ci, à la suite d'une attaque de la chaîne d'approvisionnement logicielle, quelqu'un a remplacé le code sécurisé "ctx" par une version mise à jour qui vole les variables d'environnement du développeur et collecte des secrets comme les clés et les informations d'identification d'Amazon AWS.
Ceux-ci sont ensuite envoyés à un point de terminaison Heroku (s'ouvre dans un nouvel onglet) sur https://anti-theft-web.herokuappcom/hacked/
voir l'offreprendre en pension
L'attaque, détectée pour la première fois par BleepingComputer, a entraîné quelque 20.000 XNUMX téléchargements.
En plus de "ctx", les versions de "phpass" qui ont été publiées dans PHP Package Repository/Composer Packagist ont également été "mises à jour" de la même manière. Celui-ci compte également des millions de téléchargements.
CTX est un module Python qui a été mis à jour pour la dernière fois en 2014. Puis huit ans plus tard, le 15 mai, le module a été mis à jour avec un code malveillant, comme repéré par les utilisateurs sur Reddit et confirmé plus tard par des pirates éthiques. . PHPass, d'autre part, est un framework de hachage de mot de passe open source, sorti en 2005 et téléchargé plus de deux millions de fois à ce jour.
PyPI a supprimé les versions malveillantes quelques heures après leur téléchargement dans le référentiel, mais les dégâts auraient été causés. Les dommages causés par PHPass étaient beaucoup plus limités, ont ajouté les chercheurs.
Les enquêteurs affirment que les deux attaques ont été menées par la même personne, dont l'identité est "évidente", mais s'abstiennent de nommer des noms jusqu'à ce que plus de détails soient révélés.
Les chercheurs qualifient ces types d'attaques de "repo jacking", et ce ne sont pas leurs premiers exemples. Plus tôt cette année, les bibliothèques populaires npm ua-parser-js, coa et rc ont été détournées pour servir les mineurs de crypto-monnaie et les voleurs d'informations à leurs victimes.
Via : BleepingComputer (Ouvre dans un nouvel onglet)