เมื่อพื้นที่เก็บข้อมูล GitHub ที่ไม่ได้ถูกแตะต้องมานานเกือบทศวรรษจู่ๆ ก็ได้รับ "การอัปเดต" ผู้ใช้ควรระวัง เพราะอาจเป็นการครอบครองที่ไม่เป็นมิตรโดยมีเจตนาที่จะกระจายไวรัส (เปิดในแท็บใหม่)
นี่คือสิ่งที่เกิดขึ้นกับโมดูล PyPI "ctx" ซึ่งมีการดาวน์โหลดหลายล้านครั้ง เมื่อต้นเดือนนี้ หลังจากการโจมตีของซอฟต์แวร์ซัพพลายเชน มีคนแทนที่โค้ด "ctx" ที่ปลอดภัยด้วยเวอร์ชันอัปเดตที่ขโมยตัวแปรสภาพแวดล้อมของนักพัฒนาและรวบรวมความลับ เช่น คีย์และข้อมูลประจำตัวของ Amazon AWS
สิ่งเหล่านี้จะถูกส่งไปยังปลายทางของ Heroku (เปิดในแท็บใหม่) ที่ https://anti-theft-web.herokuappcom/hacked/
ดูข้อเสนอrepo เทค
การโจมตีซึ่งตรวจพบครั้งแรกโดย BleepingComputer ส่งผลให้มีการดาวน์โหลดประมาณ 20.000 ครั้ง
นอกจาก "ctx" แล้ว เวอร์ชันของ "phpass" ที่เปิดตัวใน PHP Package Repository/Composer Packagist ก็ได้รับการ "อัปเดต" ในลักษณะเดียวกันเช่นกัน อันนี้มีการดาวน์โหลดหลายล้านครั้ง
CTX เป็นโมดูล Python ที่ได้รับการอัปเดตล่าสุดในปี 2014 จากนั้นแปดปีต่อมา ในวันที่ 15 พฤษภาคม โมดูลได้รับการอัปเดตด้วยโค้ดที่เป็นอันตราย ตามที่ผู้ใช้ Reddit พบ และได้รับการยืนยันในภายหลังโดยแฮกเกอร์ที่มีจริยธรรม ในทางกลับกัน PHPass เป็นเฟรมเวิร์กการแฮชรหัสผ่านแบบโอเพ่นซอร์สซึ่งเปิดตัวในปี 2005 และดาวน์โหลดมากกว่าสองล้านครั้งจนถึงปัจจุบัน
PyPI ลบบิลด์ที่เป็นอันตรายหลังจากอัปโหลดไปยังที่เก็บหลายชั่วโมง แต่ความเสียหายได้รับการกล่าวขานว่าเสร็จสิ้นแล้ว นักวิจัยกล่าวว่าความเสียหายที่เกิดขึ้นผ่าน PHPass นั้นจำกัดมากกว่ามาก
เจ้าหน้าที่สืบสวนระบุว่า การโจมตีทั้งสองครั้งดำเนินการโดยบุคคลคนเดียวกัน ซึ่งระบุตัวตนได้ "ชัดเจน" แต่จะไม่เปิดเผยชื่อจนกว่าจะมีรายละเอียดเพิ่มเติม
นักวิจัยเรียกการโจมตีประเภทนี้ว่า "repo jacking" และนี่ไม่ใช่ตัวอย่างแรกของพวกเขา เมื่อต้นปีที่ผ่านมา ห้องสมุด npm ua-parser-js, coa และ rc ยอดนิยมถูกจี้เพื่อให้บริการนักขุด cryptocurrency และขโมยข้อมูลแก่เหยื่อของพวกเขา
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)