Pesquisadores da área de desenvolvimento descobriram esta semana que o pacote ‘ctx’ do repositório da linguagem Python foi comprometido e alterado para roubar de seus usuários variáveis de ambiente. Descobriram também que uma bifurcação do ‘phpass’, do repositório PHP, sofreu um ataque e o projeto foi contaminado com uma carga maliciosa idêntica. Um alerta do pesquisador indiano Somdev Sangwan (@s0md3v no Twitter) indica que os dois hacks comprometeram um total de 3 milhões de desenvolvedores. Segundo ele, “o código malicioso envia todas as variáveis de ambiente para um aplicativo heroku, provavelmente minerando as credenciais da AWS”.
No caso da ‘ctx’, uma das versões é destinada a obter o ID da chave de acesso da AWS, o nome do computador e a chave de acesso secreta da AWS ao criar o dicionário. Outra versão maliciosa do ctx tenta obter todas as variáveis de ambiente da vítima.
O pacote Python ‘ctx’ tem mais de 22.000 downloads semanais em média, e oferece aos desenvolvedores um “combo mínimo, mas opinativo, de dict/objeto”. Tendo conquistado o controle sobre a biblioteca, os invasores enviaram suas versões – 0.1.2 (a versão mais recente do original), 0.2.2 e 0.2.6, que incluem funcionalidade para roubar e transferir dados para os servidores dos hackers.
Veja isso
Biblioteca UA-Parser-JS contaminada com cryptominer
Código-fonte do PHP foi contaminado com backdoor em invasão de servidor
A segunda biblioteca comprometida foi o PHPass, um sistema portátil de hash de senha do PHP. Sangwan disse que o invasor do Phpass provavelmente obteve acesso aos mantenedores desse pacote, utilizando credenciais em uma enorme lista de contas de usuários. O PHPass original foi removido em setembro de 2021 junto com a conta do desenvolvedor, mas os invasores conseguiram restaurar o acesso ao projeto no GitHub e criaram a bifurcação.
No momento, ambas as bibliotecas estão removidas. Os especialistas recomendam que os desenvolvedores verifiquem as versões dos pacotes ctx e PHPass baixados recentemente e, caso seja encontrada uma versão maliciosa, que seja removida imediatamente. O incidente foi investigado também pela Sonatype e pelo SANS Institute.