流行的Python和PHP库被劫持用以窃取AWS密钥

流行的Python和PHP库被劫持用以窃取AWS密钥

Group-169-3.webp

每周被下载超过20,000次的PyPI模块 "ctx "在一次软件供应链攻击中被破坏,恶意版本窃取了开发者的环境变量。


攻击者甚至用渗入开发者环境变量的代码替换了旧的安全版本的'ctx',以收集亚马逊AWS密钥和凭证等秘密。


此外,发布在PHP/Composer软件包库Packagist上的'phpass'分叉版本也被篡改,以类似的方式窃取机密。


PHPass框架在其生命周期内已经在Packagist仓库中产生了超过250万次的下载--尽管恶意版本的下载量被认为要小得多。


—— bleepingcomputer


网友留言(1 条)

  1. admin12news
    admin12news 回复Ta
    很危险哈哈哈

发表评论