Technology

Peretas pelajar di belakang ctx dan phpass repo-jacking melangkah maju – Keamanan

Secara mengejutkan, seseorang telah mengklaim bertanggung jawab atas peretasan rantai pasokan baru-baru ini pada pustaka Python ctx dan Hypertext Preprocessor phpass open source yang populer, mengklaim itu adalah penelitian dan bukan aktivitas berbahaya.

Mahasiswa dan magang Yunus Aydin dari Istanbul mengatakan dia membuat bot scraper untuk memeriksa apakah profil Github ada, dan untuk menangkap alamat email pemilik akun.

Setelah menguraikan tanggapan dari bot dengan alat kueri, Aydin mengatakan dia dapat mengambil alih paket jika profil pengelola Github tidak ada, atau jika nama domain mereka tidak lagi valid.

Untuk peretasan ctx, Aydin menggunakan bot untuk memeriksa apakah pendaftaran nama domain pengelola paket valid.

Ketika dia menemukan domain dengan pendaftaran yang kedaluwarsa, dia akan memeriksa ketersediaannya secara manual di Google Domains.

Jika tersedia, Aydin dapat mendaftarkan domain seharga lima dolar AS, dan menerima email pengaturan ulang kata sandi dari repositori Python Package Index.

Menyerang phpass melibatkan melewati otentikasi Github untuk repositori yang sudah pensiun, yang berhasil dilakukan Aydin.

Aydin menggunakan teknik serupa untuk menyerang registri paket bahasa pemrograman Rust, dan yang setara dengan npm juga, dengan mengatakan adalah mungkin untuk mengambil kepemilikan paket pada repositori tersebut juga.

Payload dalam paket berbahaya menangkap variabel lingkungan pengguna, termasuk data sensitif seperti kredensial Amazon Web Services.

Lebih dari sepuluh juta pengguna dan perusahaan berisiko terkena serangan tersebut, dan Aydin menerima sekitar 1000 variabel lingkungan ke instance Heroku-nya.

Data yang dia terima telah dihapus dan tidak digunakan, klaim Aydin.

Aydin mengatakan dia melaporkan bypass otentikasi Github ke HackerOne pada 20 Mei AEST.

Namun, HackerOne menutup laporan tersebut sebagai duplikat dan kerentanannya belum diperbaiki, kata Aydin.

Setelah serangan, paket ctx dan phpass dihapus bersama dengan akun pengguna Github dan instance server Heroku.

Situs web pribadi Aydin juga dihapus.

Pengguna lain keberatan untuk penelitian Aydin, mengatakan itu dilakukan tanpa persetujuan dan akan memaksa insinyur di ribuan perusahaan di seluruh dunia untuk mengubah kredensial, karena mereka tidak percaya bahwa yang ditangkap tidak akan disalahgunakan.


Posted By : pengeluaran hk hari ini 2021