Los desarrolladores de software y los expertos en seguridad cibernética han descubierto un nuevo truco de la cadena de suministro de software. Este intenta recolectar las credenciales de la nube de Amazon Web Services (AWS). Hackean paquetes de código abierto con millones de instalaciones para recolectar credenciales de AWS.
El compromiso de dos paquetes de código abierto populares, CTX de ocho años de Python y phpass de PHP, ha llevado a los desarrolladores a luchar por comprender su exposición a la amenaza.
Se cree que un total de 3 millones de usuarios se ven afectados por el compromiso de los paquetes de código abierto. Ya hay un informe del ataque que afecta a una empresa.
Hackean paquetes de código abierto con millones de instalaciones para recolectar credenciales de AWS
Se recomienda a las empresas que confían en cualquiera de los paquetes que verifiquen que no se hayan actualizado automáticamente en ningún proyecto. Si existe un compromiso potencial, los expertos aconsejan que se actualicen todas las credenciales. Todas las descargas de los paquetes de código abierto afectados durante la última semana deben analizarse en particular.
El incidente fue detectado originalmente por una persona que notó que el paquete CTX se había actualizado para incluir código malicioso. La biblioteca CTX está dedicada a permitir que los desarrolladores usen una notación de puntos para acceder a los elementos contenidos en un diccionario.
El código agregado a la biblioteca envía todas las variables de entorno del usuario, como las credenciales de acceso, a una URL. Un hacker que hizo una referencia cruzada de otros proyectos asociados con el dominio de la URL encontró que el paquete PHP también estaba comprometido.
El paquete phpass es un marco portátil de hashing de contraseñas de PHP con más de 2,5 millones de instalaciones. El código malicioso agregado a phpass muestra que el paquete intenta ubicar ‘AWS_ACCESS_KEY_ID’ y ‘AWS_SECRET_ACCESS_KEY’ antes de enviarlos de regreso al mismo dominio que el incluido en la biblioteca de Python comprometida.
El cambio a CTX de Python, completo con la adición del mismo código malicioso agregado a phpass, fue anunciado originalmente hace unos días por un usuario con un alias de «SocketPuppets». Después de mirar el historial de publicaciones en las redes sociales, la cuenta afirma haber publicado blogs de Medium . Estos contienen información de contacto de un alias aparentemente en línea ‘aydinnyunus’.
Mirando las cuentas de redes sociales, GitHub y StackExchange asociadas con aydinnyunus, la identidad conduce a un estudiante universitario, aunque aún no se ha hecho la atribución oficial.
El mantenedor de phpass eliminó su cuenta, según un análisis separado. Se cree que el atacante tomó el nombre de usuario dado que el mismo nombre de usuario que creó el paquete hace casi diez años ahora pertenece a una cuenta de nueve días.