Pacote com versão maliciosa do pacote ctx em python estava presente no PyPI.

O pacote ctx não era atualizado faz 8 anos, e até o presente momento nenhuma mudança foi refletida no github https://github.com/figlief/ctx. Mas este pacote foi comprometido dia 21/05 durante uma substituição maliciosa que envia as credenciais da AWS para um servidor.

O pacote ctx tem em média 22.000 downloads por semana. O pacote malicioso foi disponibilizado a partir do dia 14 de maio. O invasor trabalhou na versão 0.1.2 e também nas ultimas versões 0.2.2 3 0.2.6. O objetivo é roubar as credenciais AWS. Os dados enviados são/eram o AWS access Key ID, nome do host e AWS secret access key, toda vez que um dicionário era criado. Tudo foi removido, mas para quem sofreu o ataque o estrago pode ser grande.

Como detectar se o sistema contem o pacote com código malicioso? Para não ter duvida, mude para o diretório raiz e efetue o seguinte comando que varrerá todo o disco.

$ cd /
$ sudo find . -name 'ctx*py'|xargs grep AWS

Se nada aconteceu, fique em paz e vá tomar um café ou uma cerveja. Caso contrário, se obter o resultado abaixo, remova e troque imediatamente as credenciais da AWS e desinstale o pacote ctx e instale novamente e reexecute o comando acima.

$ cd /
$ sudo find . -name 'ctx*py'|xargs grep AWS
       if environ.get('AWS_ACCESS_KEY_ID') is not None:
           self.access = environ.get('AWS_ACCESS_KEY_ID')
       if environ.get('AWS_SECRET_ACCESS_KEY') is not None:
           self.secret = environ.get('AWS_SECRET_ACCESS_KEY')

Fonte : https://python-security.readthedocs.io/pypi-vuln/index-2022-05-24-ctx-domain-takeover.html

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.