URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 127598
[ Назад ]
Исходное сообщение
"Злоумышленники получили контроль за Python-пакетом ctx и PHP-библиотекой phpass"
Отправлено opennews , 24-Май-22 17:46 
Неизвестные злоумышленники получили контроль за Python-пакетом ctx и PHP-библиотекой phpass, после чего разместили обновления с вредоносной вставкой, которая отправляла на внешний сервер содержимое переменных окружения с расчётом на кражу токенов к AWS и системам непрерывной интеграции.  По имеющейся статистике Python-пакет 'ctx' загружается из репозитория PyPI около 22 тысяч раз в неделю. PHP-пакет  phpass распространяется через репозиторий Composer и  за всё время был загружен более 2.5  млн раз...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57242

Содержание
Сообщения в этом обсуждении
"Злоумышленники получили контроль за Python-пакетом ctx и PHP..."
Отправлено Fracta1L , 24-Май-22 17:46 
> владелец оригинального репозитория удалил свою учётную запись hautelook, чем воспользовался злоумышленник и зарегистрировал новую учётную запись с тем же именем

Отлично продуман этот момент у гитхаба, зачёт

"Злоумышленники получили контроль за Python-пакетом ctx и PHP..."
Отправлено Аноним , 24-Май-22 18:54 
Гитхаб куплен Майкрософтом. Косяк Майкрософта.
"Злоумышленники получили контроль за Python-пакетом ctx и PHP..."
Отправлено onanim , 24-Май-22 19:25 
ещё лучше продумано у Линкедина, Зума, инстаграма и товарищей, я охреневал сидел, пока читал: https://www.securitylab.ru/news/531831.php

- кибержулик регистрирует аккаунт на твою почту, если ты не замечаешь или игнорируешь письмо о регистрации, а позже решаешь всё-таки зарегистрироваться, и указываешь ту же почту, то сайт прикрепляет аккаунт кибержулика к твоему свежезарегистрированному, и жулик получает доступ к новому аккаунту.

а с вот этого параграфа вообще мозг закипел:

>  Атака UEC предполагает регистрацию учетной записи на электронный адрес жертвы, после чего злоумышленник отправляет запрос на смену электронной адреса, но не подтверждает его. После того, как жертва сбросит пароль, атакующий подтверждает изменение и получает доступ к учетной записи.

"Злоумышленники получили контроль за Python-пакетом ctx и PHP..."
Отправлено Аноним , 25-Май-22 04:11 
Там с Гуглом ещё какая то фигня недавно происходила. Китайцы указывают на свои google аккаунты всякие емеил адреса на outlook.com (например) в качестве резервных адресов для восстановления. И на outlook приходит письмо на китайском от Гугла типа подтверждение что вы хотите его прикрепить. Нафига хз. Но спамили знатно пару раз в день, видно что Гугл аккаунт из цифр букв фейковый или чей-то взломанный. Причем в этом же письме через переводчик можно найти ссылку на (внимание) специальную страницу Гугла в которой можно отменить прикрепление данной оутлук почты у китайского аккаунта в качестве резервного.

Какие бухие шизоиды это придумывали хз. Причем письма шлёт сам Гугл как системные.

"Злоумышленники получили контроль за Python-пакетом ctx и PHP..."
Отправлено Neon , 26-Май-22 18:12 
Кстати, не факт, что не было сговора с самим hautelook. Как то плохо верится в такие совпадения внезапные. Один удалил, другой тут же создал такое же
"Злоумышленники получили контроль за Python-пакетом ctx и PHP..."
Отправлено Annno , 29-Июн-22 08:31 
О великий сговор, спецслужбы, бла бла бла, товарищь майор не дремлет, спать нельзя , жить нельзя, все тлен,

А на деле, чельчику просто забалось тащить тупую либу от которой не в голове не в *** в нормальном CI

"Злоумышленники получили контроль за Python-пакетом ctx и PHP..."
Отправлено Аноним , 24-Май-22 18:25 
Да ладно вам, скорее всего автор ctx и развлекается. Это ж обычная телеметрия, бывает и пострашнее (чаще всего).
"Злоумышленники получили контроль за Python-пакетом ctx и PHP..."
Отправлено Аноним , 24-Май-22 18:53 
"Пострашнее" всегда начанается от такой вот "телеметрии".
"Злоумышленники получили контроль за Python-пакетом ctx и PHP..."
Отправлено Атон , 25-Май-22 22:49 
>> содержимое переменных окружения AWS_ACCESS_KEY и AWS_SECRET_KEY.
> Это ж обычная телеметрия,

Ну, ок.

"Злоумышленники получили контроль за Python-пакетом ctx и PHP..."
Отправлено Аноним , 25-Май-22 22:56 
А это отладочный режим, для удобства.
"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено ИмяХ , 24-Май-22 18:42 
PHP-ass
"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено Аноним , 24-Май-22 19:24 
Ага, phpass с вредоносной вставкой (зондом).
"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено Онаним , 24-Май-22 20:53 
Именно он.
"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено Аноним , 24-Май-22 20:53 
как корабль назовешь... ;-)
"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено user90 , 24-Май-22 18:45 
> и PHP-библиотекой

Это типа дырка в сайте что ли? Но они итак все дырявые))

"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено Аноним , 24-Май-22 18:50 
что оказалось, божественная сишечка - последний язык, у которого чистая библиотека?
а вы всё - раст...
"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено Аноним , 24-Май-22 19:38 
Как то по-детски внедрили бэкдор. Видимо автор совсем не парился с его скрытием, а на питоне можно было так завернуть чтобы хотя бы домен не висел открыто в коде, или написать свою либу с бэкдором а в самом проекте просто импортнуть как зависимость.
Какие то ленивые жулики стали в последнее время.
"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено Аноним , 24-Май-22 22:28 
Какой яп такой и бэкдор, нихателось хакеру напрягаться всерьез :)
"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено Аноним , 24-Май-22 19:54 
Удобные язычки с удобным пакетным менеджером.
"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено Онаним , 24-Май-22 20:52 
Ну, в пыхе композер только самые отъявленные смузихлёбы отоваривают, для работы он не нужен, поэтому всё ок.
"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено Аноним , 24-Май-22 20:30 
Куда катится этот мир?
"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено Онаним , 24-Май-22 20:51 
Любители пупи-композеров в очередной раз пробежались по граблям.
Всё нормально.
"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено Аноним , 24-Май-22 20:57 
А где доброумышленники?
"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено Аноним , 24-Май-22 21:41 
Я доброумышленник! Пишите номер карты, паспорта и адрес...
"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено Аноним , 24-Май-22 22:29 
Заняты нанесением пользы и причинением добра.
"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено Аноним , 25-Май-22 14:47 
На госслужбе
"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено Аноним , 24-Май-22 21:51 
Видимо ctx было похоже на ctf, а какй-то ass и вовсе сам напрашивался, с таким то названием.
"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено Саркофандр , 24-Май-22 23:25 
> anti-theft-web.herokuapp[.]com

Сейчас окажется, что это был очередной безопасник... надеюсь, что окажется.

"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено Аноним , 25-Май-22 07:05 
безопасТник...
"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено Аноним , 25-Май-22 08:30 
И что он работал по настойчивым просьбам трудящихся.
"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено Аноним , 25-Май-22 09:43 
PHP Ass
"Злоумышленники получили контроль над Python-пакетом ctx и PH..."
Отправлено Онаним , 25-Май-22 22:18 
A Code
"Перехвачен контроль над Python-пакетом ctx и PHP-библиотекой..."
Отправлено Neon , 26-Май-22 18:13 
Кстати, не факт, что не было сговора с самим hautelook. Как то плохо верится в такие совпадения внезапные. Один удалил, другой быстро создал такое же