{"id":164425,"date":"2022-05-24T16:48:09","date_gmt":"2022-05-24T18:48:09","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-package-pypi-populaire-ctx-et-la-bibliotheque-php-phpass-detournes-pour-voler-des-cles-aws\/"},"modified":"2022-05-24T16:48:15","modified_gmt":"2022-05-24T18:48:15","slug":"le-package-pypi-populaire-ctx-et-la-bibliotheque-php-phpass-detournes-pour-voler-des-cles-aws","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-package-pypi-populaire-ctx-et-la-bibliotheque-php-phpass-detournes-pour-voler-des-cles-aws\/","title":{"rendered":"Le package PyPI populaire ‘ctx’ et la biblioth\u00e8que PHP ‘phpass’ d\u00e9tourn\u00e9s pour voler des cl\u00e9s AWS"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Deux packages Python et PHP contenant des chevaux de Troie ont \u00e9t\u00e9 d\u00e9couverts dans ce qui est encore un autre cas d’attaque de la cha\u00eene d’approvisionnement logicielle ciblant l’\u00e9cosyst\u00e8me open source.<\/p>\n

L’un des packages en question est “ctx”, un module Python disponible dans le r\u00e9f\u00e9rentiel PyPi. L’autre implique “phpass”, un package PHP qui a \u00e9t\u00e9 fork\u00e9 sur GitHub pour distribuer une mise \u00e0 jour malveillante.<\/p>\n

“Dans les deux cas, l’attaquant semble avoir pris le contr\u00f4le de packages qui n’ont pas \u00e9t\u00e9 mis \u00e0 jour depuis un certain temps”, a d\u00e9clar\u00e9 le SANS Internet Storm Center (ISC). mentionn\u00e9<\/a>dont l’un des gestionnaires d’incidents b\u00e9n\u00e9voles, Yee Ching, a analys\u00e9 le paquet ctx.<\/p>\n

Il convient de noter que ctx a \u00e9t\u00e9 publi\u00e9 pour la derni\u00e8re fois sur PyPi le 19 d\u00e9cembre 2014. D’autre part, phpass n’a pas re\u00e7u de mise \u00e0 jour depuis son t\u00e9l\u00e9chargement sur Packagist le 31 ao\u00fbt 2012.<\/p>\n

Le package Python malveillant, qui a \u00e9t\u00e9 envoy\u00e9 \u00e0 PyPi le 21\u00a0mai\u00a02022, a \u00e9t\u00e9 supprim\u00e9 du r\u00e9f\u00e9rentiel<\/a>mais la biblioth\u00e8que PHP continue d’\u00eatre disponible<\/a> sur GitHub.<\/p>\n

\"La<\/a><\/div>\n

Dans les deux cas, les modifications sont con\u00e7ues pour exfiltrer les informations d’identification AWS vers une URL Heroku nomm\u00e9e “anti-theft-web.herokuapp”.[.]com.’ “Il semble que l’agresseur essaie d’obtenir toutes les variables d’environnement, de les encoder en Base64 et de transmettre les donn\u00e9es \u00e0 une application Web sous le contr\u00f4le de l’agresseur”, a d\u00e9clar\u00e9 Ching.<\/p>\n

On soup\u00e7onne que l’attaquant a r\u00e9ussi \u00e0 obtenir un acc\u00e8s non autoris\u00e9 au compte du responsable pour publier la nouvelle version de ctx. Une enqu\u00eate plus approfondie a r\u00e9v\u00e9l\u00e9 que l’auteur de la menace a enregistr\u00e9 le domaine expir\u00e9 utilis\u00e9 par le responsable d’origine le 14 mai 2022.<\/p>\n\n\n\n\n
\"Paquet<\/td>\n<\/tr>\n
Commande Linux diff ex\u00e9cut\u00e9e sur le package ctx 0.1.2 d’origine et le “nouveau” package ctx 0.1.2<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

“Avec le contr\u00f4le du nom de domaine d’origine, cr\u00e9er un e-mail correspondant pour recevoir un e-mail de r\u00e9initialisation de mot de passe serait trivial”, a ajout\u00e9 Ching. “Apr\u00e8s avoir obtenu l’acc\u00e8s au compte, l’auteur pourrait supprimer l’ancien package et t\u00e9l\u00e9charger les nouvelles versions d\u00e9rob\u00e9es.”<\/p>\n

Par co\u00efncidence, le 10 mai 2022, le consultant en s\u00e9curit\u00e9 Lance Vick divulgu\u00e9<\/a> comment il est possible d’acheter des domaines de messagerie de responsable NPM p\u00e9rim\u00e9s et de les utiliser ensuite pour recr\u00e9er des e-mails de responsable et prendre le contr\u00f4le des packages.<\/p>\n

\"Paquet<\/div>\n

Qui plus est, un analyse des m\u00e9tadonn\u00e9es<\/a> de 1,63 million de packages JavaScript NPM men\u00e9s par des universitaires de Microsoft et de la North Carolina State University l’ann\u00e9e derni\u00e8re ont d\u00e9couvert 2 818 adresses e-mail de mainteneur associ\u00e9es \u00e0 des domaines expir\u00e9s, permettant ainsi \u00e0 un attaquant de d\u00e9tourner 8 494 packages en prenant le contr\u00f4le des comptes NPM.<\/p>\n

“En g\u00e9n\u00e9ral, tout nom de domaine peut \u00eatre achet\u00e9 aupr\u00e8s d’un registraire de domaine permettant \u00e0 l’acheteur de se connecter \u00e0 un service d’h\u00e9bergement de messagerie pour obtenir une adresse e-mail personnelle”, ont d\u00e9clar\u00e9 les chercheurs. “Un attaquant peut d\u00e9tourner le domaine d’un utilisateur pour prendre le contr\u00f4le d’un compte associ\u00e9 \u00e0 cette adresse e-mail.”<\/p>\n

\"La<\/a><\/div>\n

S’il s’av\u00e8re que le domaine d’un mainteneur a expir\u00e9, l’auteur de la menace peut acqu\u00e9rir le domaine et modifier l’\u00e9change de courrier DNS (MX<\/a>) enregistre pour s’approprier l’adresse e-mail du responsable.<\/p>\n

“On dirait que le compromis phpass s’est produit parce que le propri\u00e9taire de la source du paquet – ‘hautelook’ a supprim\u00e9 son compte, puis l’attaquant a revendiqu\u00e9 le nom d’utilisateur”, a d\u00e9clar\u00e9 le chercheur Somdev Sangwan. mentionn\u00e9<\/a> dans une s\u00e9rie de tweets, d\u00e9taillant ce qu’on appelle un d\u00e9tournement de d\u00e9p\u00f4t<\/a> attaque.<\/p>\n

Les r\u00e9f\u00e9rentiels publics de code open source tels que Maven, NPM, Packages, PyPi et RubyGems sont un \u00e9l\u00e9ment essentiel de la cha\u00eene d’approvisionnement logicielle sur laquelle de nombreuses organisations s’appuient pour d\u00e9velopper des applications.<\/p>\n

D’un autre c\u00f4t\u00e9, cela en a \u00e9galement fait une cible attrayante pour une vari\u00e9t\u00e9 d’adversaires cherchant \u00e0 diffuser des logiciels malveillants.<\/p>\n

Cela inclut le typosquattage, la confusion des d\u00e9pendances et les attaques de prise de contr\u00f4le de compte, ces derni\u00e8res pouvant \u00eatre exploit\u00e9es pour exp\u00e9dier des versions frauduleuses de packages l\u00e9gitimes, entra\u00eenant des compromissions g\u00e9n\u00e9ralis\u00e9es de la cha\u00eene d’approvisionnement. <\/p>\n

“Les d\u00e9veloppeurs font aveugl\u00e9ment confiance aux r\u00e9f\u00e9rentiels et installent des packages \u00e0 partir de ces sources, en supposant qu’ils sont s\u00e9curis\u00e9s”, a d\u00e9clar\u00e9 l’ann\u00e9e derni\u00e8re la soci\u00e9t\u00e9 DevSecOps JFrog, ajoutant que les acteurs de la menace utilisent les r\u00e9f\u00e9rentiels comme vecteur de distribution de logiciels malveillants et lancent des attaques r\u00e9ussies \u00e0 la fois sur le d\u00e9veloppeur et sur CI\/CD. machines dans le pipeline.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Deux packages Python et PHP contenant des chevaux de Troie ont \u00e9t\u00e9 d\u00e9couverts dans ce qui est encore un autre cas d’attaque de la cha\u00eene d’approvisionnement logicielle ciblant l’\u00e9cosyst\u00e8me open source. L’un des packages en question est “ctx”, un module Python disponible dans le r\u00e9f\u00e9rentiel PyPi. L’autre implique “phpass”, un package PHP qui a \u00e9t\u00e9 […]<\/p>\n","protected":false},"author":1,"featured_media":164426,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[45034,17448,6208,4168,69498,4158,4165,4161,133,13395,4157,4159,4171,4170,4167,4160,4163,4162,7878,41463,69499,440,185,69497,4172,4169,4166,8394,4164],"class_list":["post-164425","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-aws","tag-bibliotheque","tag-cles","tag-comment-pirater","tag-ctx","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-detournes","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-package","tag-php","tag-phpass","tag-populaire","tag-pour","tag-pypi","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-voler","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/164425","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=164425"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/164425\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/164426"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=164425"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=164425"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=164425"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}