Manapság sajnos divatos támadási mód és meglehetősen nagy támadási felület különféle központi csomagtárolókban elhelyezett csomagok fertőzése, vagy a csomagok nevével történő megtévesztés.

PyPI-t érintő támadások

A PyPI a nyílt forráskódú csomagok tárháza, amelyet a fejlesztők arra használhatnak, hogy megosszák munkájukat, vagy mások munkájából profitáljanak, letöltve a projektjeikhez szükséges funkcionális könyvtárakat.

A PyPI "ctx" modulját, amelyet hetente több mint 20 000-szer töltenek le, egy szoftverellátási láncot érintő támadás során támadták meg. A rosszindulatú verziók célja ellopni a környezetben futó alkalmazás környezeti változóit. A fenyegetés elkövetője még a "ctx" régebbi, biztonságos verzióit is lecserélte olyan kódra, amely a fejlesztő környezeti változóit kiszivárogtatja, hogy olyan titkokat gyűjtsön, mint az Amazon AWS kulcsok és hitelesítő adatok.

A múlt héten egy másik rosszindulatú Python-csomagot szúrtak ki a PyPI rendszerben, amely szintén ellátási lánc-támadásokat hajt végre. A Cobalt Strike típusú vezérlő és hátsó ajtókat telepítő rossz szándékú program Windows, Linux és macOS rendszereken is működik. 2022. május 17-én ártó szándékú szereplők egy "pymafka" nevű rosszindulatú csomagot töltöttek fel a PyPI-ra. A név nagyon hasonlít a PyKafka-hoz, amely egy széles körben használt Apache Kafka kliens Python-hoz. Az eredeti csomagot összesen több mint négymillió letöltést számlál a PyPI nyilvántartása szerint. Az elírással megadott nevű fertőzött csomag mindössze 325 letöltést ért el, mielőtt eltávolították volna azt. Az érintettek számára azonban még így is jelentős károkat okozhat, mivel lehetővé teszi a kezdeti hozzáférést a fejlesztő belső hálózatához. A Sonatype rendszer fedezte fel a pymafka-t és jelentette a PyPI-nak, amely azután hamar eltávolította a kártékony csomagot. Mindazonáltal azoknak a fejlesztőknek, akik letöltötték, azonnal le kell cserélniük, és ellenőrizniük kell a rendszereiket Cobalt Strike típusú vezérlő és hátsó ajtókat telepítő rossz szándékú program után kutatva.

PHP/Composer-t érintő támadások

Emellett a PHP/Composer Packagist csomagtárban közzétett "phpass" fork verzióit is módosították, hogy hasonló módon lopjanak el titkokat. A PHPass keretrendszer több mint 2,5 millió letöltést regisztrált a Packagist adattárban élete során - bár a rosszindulatú verziók letöltési számai vélhetően jóval kisebbek.

Ti használtok külső tárolókat? Melyik tárolókat? Milyen módon ellenőrzitek?