URGENTE: pacote com versão maliciosa do ctx em Python estava presente no PyPI

Publicado por Alessandro de Oliveira Faria (A.K.A. CABELO) em 24/05/2022

[ Hits: 2.996 ]

Blog: http://assuntonerd.com.br

 


URGENTE: pacote com versão maliciosa do ctx em Python estava presente no PyPI



O pacote ctx não era atualizado faz 8 anos, e até o presente momento nenhuma mudança foi refletida no GitHub. Mas este pacote foi comprometido dia 21/05 durante uma substituição maliciosa que envia as credenciais da AWS para um servidor.

O pacote ctx tem em média 22.000 downloads por semana. O pacote malicioso foi disponibilizado a partir do dia 14 de maio. O invasor trabalhou na versão 0.1.2 e também nas últimas versões 0.2.2 3 0.2.6. O objetivo é roubar as credenciais AWS. Os dados enviados são/eram o AWS access Key ID, nome do host e AWS secret access key, toda vez que um dicionário era criado. Tudo foi removido, mas para quem sofreu o ataque o estrago pode ser grande.

Como detectar se o sistema conte o pacote com código malicioso? Para não ter duvida, mude para o diretório raiz e efetue o seguinte comando que varrerá todo o disco.

cd /
sudo find . -name 'ctx*py'|xargs grep AWS

Se nada aconteceu, fique em paz e vá tomar um café ou uma cerveja. Caso contrário, se obter o resultado abaixo, remova e troque imediatamente as credenciais da AWSe desinstale o pacote ctx e instale novamente e reexecute o comando acima.

cd /
sudo find . -name 'ctx*py'|xargs grep AWS
       if environ.get('AWS_ACCESS_KEY_ID') is not None:
           self.access = environ.get('AWS_ACCESS_KEY_ID')
       if environ.get('AWS_SECRET_ACCESS_KEY') is not None:
           self.secret = environ.get('AWS_SECRET_ACCESS_KEY')


Outras dicas deste autor

Economizando digitação com o comando cp

Extraindo arquivos de um .rpm sem instalá-lo

Instalando um dedo-duro em seu compartilhamento SAMBA!

Alternando entre a aplicação e a linha de comando no console

Programando Socket em C++ sem segredo

Leitura recomendada

Como programar um keylogger em Python [Vídeo]

Inguma 0.4 - Kit de ferramentas para teste de penetração

Criando um tipo específico para retorno de dados no PostgreSQL

Baixe sua distribuição por torrent

Multi-boot Slackware 11.0 + Windows XP + Windows Vista

  

Comentários
[1] Comentário enviado por arthuro2102 em 11/06/2022 - 21:36h


Como assim "maliciosa"?

[2] Comentário enviado por maurixnovatrento em 05/07/2022 - 23:32h


É pode acontecer essas coisas. Boa dica.

___________________________________________________________
Conhecimento não se Leva para o Túmulo.
https://github.com/mxnt10



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts