Ellátási láncok fertőzése

kami911 képe

Manapság sajnos divatos támadási mód és meglehetősen nagy támadási felület különféle központi csomagtárolókban elhelyezett csomagok fertőzése, vagy a csomagok nevével történő megtévesztés.

PyPI-t érintő támadások

A PyPI a nyílt forráskódú csomagok tárháza, amelyet a fejlesztők arra használhatnak, hogy megosszák munkájukat, vagy mások munkájából profitáljanak, letöltve a projektjeikhez szükséges funkcionális könyvtárakat.

A PyPI "ctx" modulját, amelyet hetente több mint 20 000-szer töltenek le, egy szoftverellátási láncot érintő támadás során támadták meg. A rosszindulatú verziók célja ellopni a környezetben futó alkalmazás környezeti változóit. A fenyegetés elkövetője még a "ctx" régebbi, biztonságos verzióit is lecserélte olyan kódra, amely a fejlesztő környezeti változóit kiszivárogtatja, hogy olyan titkokat gyűjtsön, mint az Amazon AWS kulcsok és hitelesítő adatok.

A múlt héten egy másik rosszindulatú Python-csomagot szúrtak ki a PyPI rendszerben, amely szintén ellátási lánc-támadásokat hajt végre. A Cobalt Strike típusú vezérlő és hátsó ajtókat telepítő rossz szándékú program Windows, Linux és macOS rendszereken is működik. 2022. május 17-én ártó szándékú szereplők egy "pymafka" nevű rosszindulatú csomagot töltöttek fel a PyPI-ra. A név nagyon hasonlít a PyKafka-hoz, amely egy széles körben használt Apache Kafka kliens Python-hoz. Az eredeti csomagot összesen több mint négymillió letöltést számlál a PyPI nyilvántartása szerint. Az elírással megadott nevű fertőzött csomag mindössze 325 letöltést ért el, mielőtt eltávolították volna azt. Az érintettek számára azonban még így is jelentős károkat okozhat, mivel lehetővé teszi a kezdeti hozzáférést a fejlesztő belső hálózatához. A Sonatype rendszer fedezte fel a pymafka-t és jelentette a PyPI-nak, amely azután hamar eltávolította a kártékony csomagot. Mindazonáltal azoknak a fejlesztőknek, akik letöltötték, azonnal le kell cserélniük, és ellenőrizniük kell a rendszereiket Cobalt Strike típusú vezérlő és hátsó ajtókat telepítő rossz szándékú program után kutatva.

PHP/Composer-t érintő támadások

Emellett a PHP/Composer Packagist csomagtárban közzétett "phpass" fork verzióit is módosították, hogy hasonló módon lopjanak el titkokat. A PHPass keretrendszer több mint 2,5 millió letöltést regisztrált a Packagist adattárban élete során - bár a rosszindulatú verziók letöltési számai vélhetően jóval kisebbek.

(forrás, forrás)

Hozzászólások

tothbela48 képe

Tisztelt kami911!

Értékelés: 

0
Még nincs értékelve

Tisztelt kami911!

Nem tudom, ezzel a bejegyzéssel kapcsolatos-e a problémám.

Egyszercsak nem tudom a PC-men lévő php fájlokat futtani, megnézni. Sem Operával, sem Firefoxszal.
Alapértelmezésben a Bluefish indult el, miután töröltem a rendszeremből, akkor a következő állapot maradt fenn.
A megjelenítés helyett a meghívott böngésző a file mentése ablakot dobja fel. Ami pedig a böngésző kezdőlapját menti le.
Mikor megnéztem, a korábban szerkesztett php fájl tulajdonságaiban a futtathatóság nem volt beállítva, de ha beállítom, akkor is ugyanez történik. Korábban, amikor normálisan történt minden, nem figyeltem a tulajdonsági beállításokat.

Két olyan dolog jött közbe, amiből származhatott ez a probléma. És tudni kell, hogy amatőr vagyok. A html-lel még elboldogulok, de a php-t most kezdem tanulni. A linuxot is a segédletek állandó keresgélése mellett használom.
Alapvetően a webes programokat a Xed szövegszerkesztővel írom, mert a Bluefish automatizmusai sokszor kényelmetlenek számomra. És a tag-ek beszúrása sem működött. Töröltem is a gépemről, de egyszer csak visszatelepült.

1. Egy alkalommal a php file megnyitásakor a böngésző helyett a Bluefish indult el. Csak simán bezártam a Bluefisht, nem használtam.
Ezt követően jött elő a probléma.
A php fájlok megnyitásához alapértelmezettként a Bluefish lett beállítódva, és nem lehetett átállítani a böngészőkre.
A Bluefish teljes kigyomlálása után törlődött az alapértelmezett megnyitásból is. De a böngészők abnormális viselkedése fennmaradt.

2. Azért erőlködöm a php programozással, mert egy olyan levelezési lista rendszert szeretnék működtetni, ami nem tartalmaz guggli scripteket, linkeket. Ugyanis azt tapasztalom, hogy cenzúrázza a klímahisztéria ellen szóló tartalmakat, és minimum a spam mappába teszi.
Másik dolog, amiért mezítlábas megoldást keresek, hogy több fellelt levelezési lista kezelő szoftvert kerestem, töltöttem le a szerveremre vagy a gépemre. Ezeket futtatgattam, de a free változatok mindegyikének volt valami kényelmetlensége.

A kérdésem, kérésem voltaképpen egyszerű. Hogyan tudom a böngészőim abnormális viselkedését megszüntetni? A böngészők frissítése oldja csak meg ill. megoldja a problémát? A netről jövő php fájlokat normálisan kezelik.

Előzetes köszönettel várom válaszát
Béla, az öreg

tothbela48 képe

Ne töltsön időt senki az előző megjegyzésemmel!!!

Értékelés: 

0
Még nincs értékelve

#1 Bocsánat az előző kérdésemért. Elfelejtettem, hogy a korábban a szerveremről kísérleteztem.. A php szerveroldali szofrtver. Örekszem! :D