PyPi 和 PHP package 被劫持,威胁 AWS 凭证安全
重点要点
恶意行为者劫持了名为“ctx”的 PyPi 包和“phpass” PHP 包,以实现对 AWS 凭证的提取。这两个包在其各自的代码库中长期未更新,ctx 最后发布于 2014 年 12 月,而 phpass 在 2012 年 8 月最后更新。改动后的包可以将被盗的 AWS 凭证存储到特定网址上,攻击者可能利用未授权的维护者账户访问来发布被后门的包版本。最近,有关报道指出,恶意行为者通过劫持名为“ctx”的 PyPi 包和“phpass” PHP 包,利用这些包来实施 AWS 凭证提取,这些信息来自于 The Hacker News 的报道。
这两个受损的包在各自的代码库中都已经长时间处于静止状态。根据 SANS Internet Storm Center 的报告,ctx 最后一次发布是在 2014 年 12 月,而 phpass 则在 2012 年 8 月更新。报告指出,这些包经过修改,能够将被盗的 AWS 凭证存储到名为 antitheftwebherokuapp[]com 的网址上。SANS ISC 的 Yee Ching 表示:“看来,这个罪犯试图获取所有环境变量,将其编码为 Base64,然后将数据转发到一个控制下的网络应用程序。”
攻击者可能利用了未授权的维护者账户访问,从而发布新的 ctx 版本。Ching 补充道:“控制原始域名后,创建一个相应的电子邮件来接收密码重置邮件将是微不足道的。在获得账户访问权限后,罪犯可以删除旧包并上传新的带后门版本。”
相关链接 AWS 安全最佳实践 了解 PyPi 包安全性
虎跃加速器
DDoS攻击针对以色列信用卡读取器 媒体
以色列金融科技公司Hyp遭遇网络攻击关键要点以色列金融科技公司Hyp的CreditGuard支付网关产品于周日遭遇分布式拒绝服务攻击,导致超市和加油站的信用卡读卡机暂时停用。Hyp发言人表示,迅速采取...
