Gli esperti di sicurezza hanno scoperto diversi pacchetti Python dannosi che trapelano informazioni riservate sugli utenti.
In un post sul blog (si apre in una nuova scheda), Ax Sharma, Security Researcher presso Sonatype, afferma che i pacchetti: loglib-modules, pyg-modules, pygrata, pygrata-utils e hkg-sol-utils perdono segreti degli utenti, come come credenziali AWS. e le variabili di ambiente e caricarle in un endpoint esposto pubblicamente (si apre in una nuova scheda).
Alcuni, come suggerisce il nome, prendevano di mira sviluppatori che avevano familiarità con le librerie loglib e pyg, mentre altri avevano obiettivi sconosciuti.
attaccanti sconosciuti
Non sappiamo esattamente a quante persone siano stati esposti i loro dati (si apre in una nuova scheda), anche se Sharma ha affermato che gli investigatori hanno trovato "centinaia di file TXT contenenti informazioni riservate e segreti".
Per escludere la possibilità che un team di sicurezza stia indagando, Sonatype ha contattato i proprietari di pygrata.com ma non li ha mai sentiti. Poco dopo, i file TXT dell'endpoint che perdeva sono scaduti, portando i ricercatori a pensare che qualcuno dovesse averlo fermato. Inoltre, i moduli loglib sono stati rapidamente rimossi dal web, anche se per breve tempo.
Sonatype non è stato in grado di scoprire chi c'è l'attore della minaccia dietro l'attacco o quale fosse il loro obiettivo finale.
"Le credenziali rubate sono state intenzionalmente esposte sul web (si apre in una nuova scheda) o erano il risultato di cattive pratiche di sicurezza operativa?" chiede Sharma. "Se si tratta di una sorta di legittimo test di sicurezza, sicuramente non ci sono molte informazioni in questo momento per escludere la natura sospetta di questa attività".
Poco dopo aver segnalato tutti i pacchetti problematici al team di sicurezza di PyPI, sono stati tutti rimossi, ha concluso la società.
Di tanto in tanto, i ricercatori scoprono pacchetti dannosi nei repository open source. All'inizio di quest'anno, i ricercatori hanno scoperto due pacchetti Python e PHP (ctx e phpass), che sostanzialmente funzionavano come trojan. Successivamente è stato scoperto che dietro entrambi i pacchetti c'era un ricercatore di sicurezza turco, Yunus Aydin, che ha dimostrato "come questo singolo attacco colpisca più di 10 milioni di utenti e aziende".