хакеры
May 29, 2022

Компрометация пакетов ctx и phppass оказалась сомнительным «исследованием»

Выяснилось, что недавняя компрометация пакетов ctx и phppass, которые воровали переменные среды в поисках учетных данных и ключей от Amazon AWS, была демонстрацией атаки и никаких вредоносных действий автор этого «исследования» не планировал.

Напомню, что о подозрительном поведении ctx и phppass стало известно ранее на этой неделе. Сначала в репозитории PyPI был замечен скомпрометированный пакет ctx, который загружают более 20 000 раз в неделю. Вредоносная версия воровала переменные среды в поисках учетных данных и ключей от Amazon AWS. Потом выяснилось, что компрометации подверглась и популярная PHP-библиотека phpass, форки которой похищали секреты аналогичным образом, загружая их в тот же самый эндпоинт Heroku.

Как теперь сообщает издание Bleeping Computer, за этой кампанией стоял исследователь из Стамбула Юнус Айдин (Yunus Aydın), использующий ник SockPuppets. Он утверждает, что компрометация ctx и phppass была лишь proof-of-concept (PoC) для bug bounty, а кража токенов AWS была необходима для демонстрации «максимального воздействия» эксплоита. И хотя Айдин утверждает, что это «этичное исследование», жертвы его активности явно восприняли произошедшее совсем иначе.

Журналисты отмечают, что обычно эксплоиты для bug bounty, нацеленные на опенсорсные библиотеки, используют простой код, например, печатающий «вас взломали!» в целевой системе или похищающий какую-то базовую информацию, к примеру, IP-адрес пользователя, имя хоста и рабочего каталога. Позже эти данные могут быть использованы исследователем в качестве доказательства взлома для получения вознаграждения. Однако кражу переменных среды и учетных данных от AWS вряд ли можно назвать «этичной».

«Я отправил отчет в HackerOne, чтобы продемонстрировать максимальное воздействие [эксплоита]. Все эти исследования НЕ содержали какой-либо вредоносной активности. Я хотел показать, как такая простая атака может затронуть более 10 миллионов пользователей и компаний. ВСЕ ДАННЫЕ, КОТОРЫЕ Я ПОЛУЧИЛ, УДАЛЕНЫ И НЕ ИСПОЛЬЗУЮТСЯ», — пишет Айдин.

Также Айдин объяснил, как он смог стать владельцем ctx. Это произошло из-за истечения срока действия домена изначального автора. Айдин использовал бота для обхода различных опенсорсных реестров и извлечения адресов электронной почты сопровождающих, указанных для каждого из пакетов. Когда бот находил адрес электронной почты, в котором использовалось собственное доменное имя, срок действия которого истек, Айдин получал уведомление.

Пакет ctx не трогали годами, и изначально он был опубликован в PyPI с использованием адреса [email protected]. Когда Айдин узнал, что этот домен уже недействителен, он купил его, смог снова создать тот же почтовый адрес, инициировал сброс пароля и получил контроль над пакетом.

Когда журналисты поинтересовались у исследователя, получил ли он вознаграждение за свои изыскания, Айдин ответил, что HackerOne закрыл его отчет как дубликат. Также некоторые пользователи обратили внимание, что после новостей о компрометации ctx и phppass Айдин, похоже, постарался сократить свое присутствие в интернете: его сайт sockpuppets.ninja (архивная версия) перестал работать, а его профиль на BugCrowd более недоступен.

Впрочем, сам исследователь уверяет, что сайт просто находится на бесплатном хостинге и превысил лимит посещений из-за большого интереса к случившемуся.