https://www.bleepingcomputer.com/news/security/hacker-says-hijacking-libraries-stealing-aws-keys-was-ethical-research
해커는 도서관을 납치하고 AWS 열쇠를 훔친 것은 윤리적인 조사였다고 말합니다.ctx와 PHPass 도서관 해커들은 이제 침묵을 깨고 이 납치의 배후에 있는 이유를 Bleeping Computer에게 설명했습니다. 해커에 따르면 이것은 버그 바운티 연습이며 악의적인 활동은 의도되지 않았습니다.www.bleepingcomputer.com
[본문 번역]어제 개발자는 BleepingComputer뉴스에서 먼저 보고된 것처럼 하이쟈쯔킹된 2개의 대단히 인기 있는 Python및 PHP라이브러리인 “ctx”와 “PHPass”에 주목했습니다.이 같은 합법적인 오픈 소스 프로젝트는 모두 개발자의 AWS자격증을 훔치도록 변경되었습니다.’ctx’과 ‘PHPass’가 함께 평생 300만건 이상의 다운로드를 기록했다는 점을 감안하면 이 사건은 개발자들 사이에서 많은 공포와 토론을 불러일으켰습니다.이 하이쟈쯔킹의 배후에 있는 해커는 이제 침묵을 깨고 BleepingComputer에 자신의 이유를 설명했습니다.”보안 연구자”가 아니라 해커에 따르면 이는 버그 포상금의 행사이며 악의적인 활동은 의도하지 않았습니다.PoC패키지는 “최대의 영향”을 나타내는 AWS비밀키를 훔쳤어요.오늘 널리 사용되고 있다”ctx”및”PHPass”소프트웨어 프로젝트의 해커는 납치의 배후에 있는 근거를 설명했습니다.이는 “악의적인 활동”과 해를 의도하지 않는 개념 증명(PoC)버그 현상금의 행사였습니다.실제로 이 라이브러리의 납치범들은 이스탄불에 근거지를 둔 보안 연구자인 YunusAydın(SockPuppets)입니다.그는 BleepingComputer가 접근했을 때 그 사실을 증명했습니다.그는 AWS토큰을 훔친 자신의 근거가 엑스 프로 라이트의 “가장 큰 영향”을 나타내기 위한 것이라고 주장합니다.널리 쓰이는 Python라이브러리”ctx”가 파손했다는 주장은 Reddit에서 사용자의 jimtk이 8년 업데이트되지 않은 라이브러리가 갑자기 새로운 버전이 출시된 것을 알면서 시작됐습니다.게다가 어제 BleepingComputer가 설명했듯이 이 새로운 버전의 “ctx”는 환경 변수와 AWS보안 키를 신비적인 Heroku엔드 포인트로 흘러나왔습니다.또 다른 윤리적 해커인 Somdev Sangwan은 나중에 PHP프레임워크의 포크의 하나인 “PHPass”이 유사한 방법으로 같은 엔드 포인트를 통해서 AWS비밀키를 훔치도록 변경된 것을 발견했습니다.
인기글
![[한국공학대학교 누리온]통학로를 위한 도서관으로 자체 개발하는 제2탄!](https://blog.kakaocdn.net/dn/StTeu/btqMBw6xrUW/sw0yORvwCQkkUjPpmuhkXK/img.png "[한국공학대학교 누리온]통학로를 위한 도서관으로 자체 개발하는 제2탄!")
변경된 버전의 “ctx” 및 “phpass”가 AWS 보안키를 훔쳤습니다(Bleeping Comptuer).
블리핑 컴퓨터는 변경된 “ctx” 버전 내에서 “저자”의 이름이 라이브러리의 원래 유지 보수자인 Robert Redger와 반대로 Yunus AYDIN으로 수정되었음을 발견했습니다. 하지만 Redger의 이메일 주소는 그대로 남아 있었습니다.
파손된 ‘ctx’버전(Bleeping Computer)에 존재하는 작성자 및 이메일 정보
일부 연구자는 또 납치범이 설정한 Heroku의 웹 페이지가 그의 연락처 정보를 유출하는 것을 눈치 챘지만 더 많은 정보가 가려질 때까지 유괴범의 이름을 밝히지 않았어요.의심스러운 윤리적 연구 Aydın는 이것이 모두 윤리적인 연구라고 주장하는데, 이러한 활동의 희생자는 그것을 그 이상으로 생각하죠.오픈 소스 라이브러리를 대상으로 하는 대부분의 PoC및 버그 현상금의 훈련은 “당신은 해킹되었습니다!”와 인쇄하는 단순한 코드를 사용합니다.타깃 시스템에서, 또는 유저의 IP주소 호스트 이름 및 워크 디렉토리 등의 디폴트의 지문 정보를 추출합니다.이 정보는 나중에 연구자가 시스템에 잘 침투했다는 것을 증명했고 윤리적 연구와 책임 있는 공개에 대한 버그 보상을 받기 위해서 사용할 수 있습니다.그러나”ctx”와 “PHPass”의 경우 하이쟈쯔킹된 버전이 디폴트 PoC에서 멈추지 않았어요.개발자의 환경 변수와 AWS자격증을 훔쳤고 하이 재커의 의도 또는 윤리적 연구에 대한 의심을 던졌습니다.패스워드 및 API키 등의 환경 변수에 저장된 비밀을 훔치는 것은, 특히 수백 만회 다운로드된 “ctx”와 “PHPass”등 인기 라이브러리를 하이쟈쯔킹할 때 선을 넘어설 수 있습니다.아이 dın은 BleepingComputer와의 인터뷰에서 “최대의 효과를 나타내는 HackerOne에 보고서를 보냈습니다.”이들 모든 연구에는 악의적인 활동이 포함되어 있지 않습니다.이 단순한 공격이 1천만명 이상의 사용자와 회사에 어떤 영향을 주는지 제시하고 싶습니다.내가 받은 모든 데이터는 삭제되어 사용되지 않습니다”와 아이 dın은 씁니다.아이 dın는 자신의 공개가 받아들여지고 현상금을 받았는지를 묻는 질문에 HackerOne이 보고서를 중복하고 마감았다고 말했습니다.유괴된 라이브러리에 관한 보고서가 급속히 확산되자 아이디ー느의 온라인 존재가 사라지게 알아보는 사람도 있었습니다.Aydın의 웹 사이트인 sockpuppets.ninja(archived)이 동작을 정지하고 그의 BugCrowd프로파일에 접속할 수 없게 되었습니다.연구자는 자신의 웹 사이트가 대역 폭의 부족 때문에 받았다고 말했습니다.”무료 웹 호스팅이며 하루의 재생 횟수에 제한이 있습니다.그래서 000webhost은 뜨거운 관심 때문에 나의 웹 사이트를 감았습니다”라고 BleepingComputer로 접속할 수 없는 웹 사이트에 대해서 질문했을 때 아이 dın는 주장합니다.만료의 도메인에 의해서 취득된 패키지, 레포쟈쯔킹 Aydnn은 오늘, 패키지에 관련된 전직의 관리자의 도메인이 끝난 뒤”ctx”PyPI패키지의 소유권을 취득할 수 있었다고 설명했습니다.연구자는 봇을 사용하여 다양한 오픈 소스 레지스트리를 크롤링 하고 레지스트리의 각 패키지에 대해서 리스트 되고 있는 관리자의 전자 메일주소를 긁었습니다.보트가 현재 시한이다 커스텀 도메인명을 사용하신 메일 주소를 찾아낼 때마다 Aydın이 통지를 받습니다.몇년 동안 언급하지 않았다”ctx”패키지는 원래 관리자의 메일 주소([email protected])을 사용하고 PyPI레지스트리에 게시되었습니다.Aydnn은 “보트가 도메인이 무효라고 알립니다.그러므로 해당 도메인을 구입하면 비밀 번호 분실 메일을 송신하면 패키지를 계승할 수 있습니다”라고 설명합니다.현재 사용 가능한 figlief.com도메인 이름을 등록하고 관리자의 메일 주소를 다시 작성한 후 연구자는 “ctx”프로젝트의 PyPI로 패스워드의 리셋에 성공했어요.
‘ctx’ 패키지 소유자(Yunus Aydán)의 PyPI에서 비밀번호 리셋이 시작되었습니다.
이렇게 그는 “ctx”패키지에 대한 PyPI관리자 계정에 재 로그인하고 변경된 버전을 게시할 수 있습니다.만료의 관리자 도메인 이름에 의한 “ctx”하이쟈쯔킹도 새로운 공격이 아닙니다.이는 오픈 소스 레지스트리만 아니라 사용자가 커스텀 도메인명 메일 주소로 계정을 등록할 수 있는 거의 모든 웹 사이트에 영향을 주는 기존의 문제입니다.도메인 이름(그래서, 메일 주소)이 나중에 만료될 경우 모든 배우는 패스워드의 리셋을 시작한 뒤, 도메인명을 등록했고 지금은 버려진 계정에 재 로그인할 수 있습니다.또 Microsoft및 NorthCarolina State University연구원의 2021년의 연구에 따르면 npm의 수천의 JavaScript프로젝트에 만료된 도메인 이름을 사용하고 리스트 된 관리자의 메일 주소가 있어 이런 프로젝트는 하이쟈쯔킹에 취약으로 밝혀졌습니다.그러나 어제 BleepingComputer가 설명했듯이 PHPass를 하이쟈쯔킹하는 것은 버려진 GitHub레파지토리가 PHP/Composer레지스트리인 Packagist에 이 패키지 버전을 재투고할 수 있는 다른 사용자에게 요구되는 “치에ー은쟈쯔킹”또는”repo-jacking”와 매우 닮았습니다.연구원은 “5월 19일 보고서를 보내고 PHPass레파지토리를 인수하면서 하루 만에 제 보고서가 레플리카로 폐쇄된 것을 나타냈습니다”라고 말했습니다.Aydın은 “악의적인 활동은 포함되지 않았다”라고 주장하는 이 연구를 통해서 Heroku웹 앱을 통해서 1000개의 환경 변수를 수신했습니다.납치범에 대한 터무니 없는 청구서.”그러나 Heroku의 무료 버전을 사용하기 때문에 Heroku는 청구 정보를 사용하지 않습니다”와 하이 재커는 결론지었습니다.관련 기사:AWS키를 훔치기 위해서 하이쟈쯔킹된 인기의 Python및 PHP라이브러리 보석 확인:RubyGems는 무단 패키지의 탈취 버그를 수정합니다.오픈 소스”패키지 분석”툴은 악성 npm, PyPI패키지를 찾습니다.NPM의 결함으로 공격자는 누구도 악의 있는 패키지 관리자로서 추가할 수 있습니다.3번째 npm시위 소프트웨어:”event-source-polyfill”이 러시아를 불러냅니다.