Skadliga Python-paket laddar ner sina hemligheter från AWS online

Skadliga Python-paket laddar ner sina hemligheter från AWS online

Säkerhetsexperter har upptäckt flera skadliga Python-paket som läcker känslig användarinformation.

I ett blogginlägg (öppnas i en ny flik) uppger Axe Sharma, säkerhetsforskare på Sonatype, att paket: loglib-modules, pyg-modules, pygrata, pygrata-utils och hkg-sol-utils läcker hemligheter för användare, t.ex. som AWS-uppgifter. och miljövariabler, och ladda dem till en offentligt exponerad slutpunkt (öppnas på en ny flik).

Vissa, som namnet antyder, riktade sig mot utvecklare som var bekanta med loglib- och pyg-biblioteken, medan andra hade okända mål.

okända angripare

Vi vet inte exakt hur många personer deras data exponerades för (öppnas i en ny flik), även om Sharma sa att utredarna hittade "hundratals TXT-filer som innehåller konfidentiell information och hemligheter."

För att utesluta möjligheten att ett säkerhetsteam undersöker, kontaktade Sonatype ägarna till pygrata.com men hörde aldrig från dem. Strax efter gick TXT-filerna för den läckande slutpunkten ut, vilket fick forskarna att tro att någon måste ha stoppat den. Dessutom togs loglib-moduler snabbt bort från webben, om än kortvarigt.

Sonatype kunde inte ta reda på vem hotaktören bakom attacken är, eller vad deras slutliga mål var.

"Blev de stulna autentiseringsuppgifterna avsiktligt avslöjade på webben (öppnas i en ny flik) eller var de resultatet av dåliga operativa säkerhetsrutiner?" frågar Sharma. "Om det här är något slags legitimt säkerhetstest, så finns det förvisso inte mycket information för närvarande för att utesluta den här aktivitetens misstänkta karaktär."

Kort efter att ha rapporterat alla problematiska paket till PyPI:s säkerhetsteam togs alla bort, konstaterade företaget.

Då och då upptäcker forskare skadliga paket i arkiv med öppen källkod. Tidigare i år upptäckte forskare två Python- och PHP-paket (ctx och phpass), som i princip fungerade som trojaner. En turkisk säkerhetsforskare, Yunus Aydin, visade sig senare ligga bakom båda paketen, och demonstrerade "hur denna enda attack påverkar mer än 10 miljoner användare och företag."