Des packages Python malveillants téléchargent leurs secrets depuis AWS en ligne

Des packages Python malveillants téléchargent leurs secrets depuis AWS en ligne

Les experts en sécurité ont découvert plusieurs packages Python malveillants qui divulguent des informations utilisateur sensibles.

Dans un article de blog (s'ouvre dans un nouvel onglet), Ax Sharma, chercheur en sécurité chez Sonatype, affirme que les packages : loglib-modules, pyg-modules, pygrata, pygrata-utils et hkg-sol-utils divulguent des secrets. utilisateurs, tels que les informations d'identification AWS. et les variables d'environnement, et chargez-les sur un point de terminaison exposé publiquement (s'ouvre dans un nouvel onglet).

Certains, comme leur nom l'indique, ciblaient des développeurs familiers avec les bibliothèques loglib et pyg, tandis que d'autres avaient des cibles inconnues.

attaquants inconnus

Nous ne savons pas exactement à combien de personnes leurs données ont été exposées (ouvre dans un nouvel onglet), bien que Sharma ait déclaré que les enquêteurs avaient trouvé "des centaines de fichiers TXT contenant des informations confidentielles et des secrets".

Pour exclure la possibilité qu'une équipe de sécurité enquête, Sonatype a contacté les propriétaires de pygrata.com mais n'a jamais eu de leurs nouvelles. Peu de temps après, les fichiers TXT du point final qui fuyait ont expiré, ce qui a amené les chercheurs à penser que quelqu'un devait l'avoir arrêté. De plus, les modules loglib ont été rapidement supprimés du Web, bien que brièvement.

Sonatype n'a pas été en mesure de découvrir qui était l'acteur menaçant derrière l'attaque, ni quel était son objectif ultime.

"Les informations d'identification volées ont-elles été intentionnellement exposées sur le Web (ouvre un nouvel onglet) ou étaient-elles le résultat de mauvaises pratiques de sécurité opérationnelle ?", demande Sharma. "S'il s'agit d'une sorte de test de sécurité légitime, il n'y a sûrement pas beaucoup d'informations à ce stade pour exclure la nature suspecte de cette activité."

Peu de temps après avoir signalé tous les packages problématiques à l'équipe de sécurité de PyPI, ils ont tous été supprimés, a conclu la société.

De temps à autre, les chercheurs découvrent des packages malveillants dans des référentiels open source. Plus tôt cette année, les chercheurs ont découvert deux packages Python et PHP (ctx et phpass), qui fonctionnaient essentiellement comme des chevaux de Troie. Un chercheur en sécurité turc, Yunus Aydin, s'est ensuite avéré être à l'origine des deux packages, démontrant "comment cette attaque unique affecte plus de 10 millions d'utilisateurs et d'entreprises".