AWS認証情報が盗まれる2つのライブラリ改ざんについてまとめてみた - piyolog

2022年5月24日（米国時間）、SANS ISCのフォーラムでPython向けライブラリの1つ（その後PHP向けライブラリでも判明）が第三者により不正なコードを含むアップデートが行われていたとして注意を呼び掛ける投稿が行われました。その後この行為に関わっていたとして実行者とみられる人物が顛末を公開しました。ここでは関連する情報をまとめます。 改ざんされた2つのライブラリ 今回影響が確認されたのPython Package Index（Pypi.org）で公開されている「ctx」、Packagist（Packagist.org）で公開されている「PHPass」の2つ。 影響を受けたライブラリ インストール実績 改ざんされたとみられる期間 概要 ctx 約75万回 2022年5月14日～5月24日頃 辞書(dict型オブジェクト)を操作するユーティリティを提供するPython向けのパッケージ

[YassLab]

“所有者のメールアドレスのドメインが無効であったことを確認し、当該ドメインを5ドル支払い取得。その後所有者と同じメールアカウントを作成しPyPIのパスワードリセットを実行して所有者のアカウントを掌握”

[JULY]

記載されているコードだと、環境変数からの取得なので、IAM ロールや CLI 用のプロファイルとかならセーフ。アカウント乗っ取りの経緯を読むと、個人で独自ドメインのメールアドレス、の危険性を感じるなぁ。

[bonlife]

「うちの会社にも影響あったのかね？調査したまえ。」とか言われると困るやつ…… こういうの防ぐの難しいよなー。

[raimon49]

Security Researcherの検証だったのか。作者が失効アカウント状態になってるライブラリを利用したサプライチェーン攻撃可能性が示されてしまった。

[minoton]

https://business.nikkei.com/atcl/report/16/091200163/040600031/

[tmatsuu]

ctxはドメイン成りすまし、phpassはgithubアカウント成りすまし、か。示唆に富むね。今現在も成りすましているライブラリが存在してもおかしくないよね。namespaceで解決する問題でもないなこりゃ。

[tinsep19]

denoみたいにホワイトリストのパーミッションを強制しないといけないのかもなあ。そのうちJavaもデフォルトのパーミッションファイルは全部denyになるかもな。

[z1h4784]

メアド失効狙いの乗っ取りかあ…。善意で構築されているシステムはこういうのに弱い

[mysql8]

GCPしか勝たん

[momonga_dash]

AWS内ならロール、外ならOIDC連携とか、アプリからは一時的な認証情報だけ見えるようにして、リスク減らしたほうがよさげねえ

[zakinco]

やべー

[nilab]

「今回影響が確認されたのPython Package Index（Pypi.org）で公開されている「ctx」、Packagist（Packagist.org）で公開されている「PHPass」の2つ」

[ya--mada]

これは、サーバーインストールするAVで検知するAVは有ったのだろうか？ソースコードスキャンしないと分からない？/ この件は思い付いたシナリオを実験したのかな？

[a-know]

“2022年5月に行われた更新の際はGithub上で変更が加えられていなかった”

[Mu_KuP]

動機が分からん不気味な改ざんだなぁ。／業務的に要報告