تم اختراق السيطرة على 4 مشاريع في PyPI

Darkcrizt

4 دقيقة

PyPI

تقرير الحادث: الاستيلاء على حساب المستخدم

بلا شك واحد من المشاكل الكبيرة التي تواجه مستودع حزم بايثون (بيبي) إنها القضية الأمنية. سواء في تقديم الحزم أو في أمان حسابات المطورين.

والشيء الأكثر شيوعًا الذي نسمعه عن هذه المشكلات هو اكتشاف الحزم الضارة، والذي يسير جنبًا إلى جنب مع استغلال العيوب في PyPI أو أيضًا من قبل مطوري التطبيقات.

سبب الحديث عنه هو أنه في الآونة الأخيرة أعلن مسؤولو PyPI من خلال مشاركة المدونة تفاصيل حول كيفية تمكن المهاجم من السيطرة على حساب مستخدم PyPI وتم استخدامه لإزالة ملكية المستخدم من 4 مشاريع.

ومن الجدير بالذكر أنه فيما يتعلق بهذا الحادث، لم يكن ذلك بسبب أي نوع من مشكلات PyPI (نقاط الضعف)، بل لم يكن حساب المستخدم محميًا بشكل كافٍ ضد الاستيلاء على الحساب.

حول الحادثة، يذكر أن المهاجمe، الذي سيطر على المشاريع، تم حظره بسرعة ولم يكن لديه الوقت لإجراء تغييرات وإنشاء إصدارات معدلة من المستودعات التي سيطر عليها.

وفيما يتعلق بتفاصيل كيفية سيطرة المهاجم على الحساب، يذكر أن تم الاستحواذ عن طريق استبدال مالك المشروع (أضاف المهاجم نفسه كمساهم في هذه المشاريع، وأزال المالك الأصلي).

الترتيب الزمني للحركات ماذا فعل المهاجم وصفوا أدناه:

Fecha: 2023-11-22

  • 08:42:33 تم إنشاء حساب مستخدم dvolk جديد
    الحساب 08:44:55 meisnate12 يدعو dvolk ليكون متعاونا في arrapi
  • 08:47:25 دفولك يقبل الدعوة
  • 08:47:35 يقوم dvolk بإزالة meisnate12 كمساهم في arrapi (مكرر لـ tmdbapis وnagerapi وpmmutils)
  • 08:50:27 تم حذف حساب meisnate12 
    لم يتم رؤية أي إجراء آخر من dvolk بعد هذه النقطة.
  • الساعة 14:33، يتلقى admin@pypi.org بريدًا إلكترونيًا من العنوان المرتبط بحساب meinstate12:

مع الأخذ في الاعتبار الترتيب الزمني، لقد مرت 5 ساعات فقط على بدء المشاريع بحيث تلقى مسؤولو PyPI رسالة من المؤلف الأصلي حول ما حدث، وقاموا بإغلاق حساب المهاجم واستعادوا ملكية المشاريع.

  • 14:46 يستجيب مسؤول PyPI بما يلي:

    شكرا لك على التقرير. لقد قمنا بتجميد الحساب المعني أثناء التحقيق في هذا الأمر.

  • 14:44 يناقش مسؤولو PyPI الخيارات في قناة PyPI Admins Slack مع اثنين من مسؤولي PyPI الآخرين
  • 14:46 يقوم مسؤول PyPI بتعطيل dvolk حساب

وتم تحديد سبب الحادث أمنيا عدم كفاية الوصول إلى الحساب والفشل في استخدام المصادقة الثنائية، مما سمح للمهاجم بتحديد معلمات تسجيل الدخول للمستخدم "meisnate12" واتخاذ الإجراءات نيابة عنه.

نحن نتكامل مع HaveIBeenPwned للتحقق من كلمة مرور المستخدم مقابل خدمتك عند كل تسجيل دخول. ولسوء الحظ، فإن كلمة المرور المعنية لم تظهر من قبل. في مخالفة يعلم بها HaveIBeenPwned، لذلك لم يمنع ذلك الهجوم.

2fa
المادة ذات الصلة:
نفذت PyPI بالفعل دعم 2FA

إنه بسبب هذا النوع من الحوادث هذاينوي مسؤولو PyPI بحلول نهاية هذا العام نقل جميع الحسابات من المستخدمين الذين يدعمون مشروعًا واحدًا على الأقل أو أعضاء منظمات الرقابة إلى الاستخدام الإلزامي للمصادقة الثنائية. منذ العام الماضي، وبسبب حادث ما، تم اتخاذ هذا القرار ومنذ ذلك الحين قام المطورون بتنفيذ التغييرات تدريجيًا لتنفيذ المصادقة الثنائية

المادة ذات الصلة:
في PyPI ، يستعدون بالفعل للمصادقة ذات العاملين ، وقد تم بالفعل الإبلاغ عن حادث في البداية

ومع استخدام المصادقة الثنائية، يذكر مسؤولو PyPI أنها ستعزز حماية عملية التطوير وتحمي المشاريع من التغييرات الضارة نتيجة تسرب بيانات الاعتماد، واستخدام نفس كلمة المرور على المواقع المخترقة، واختراق الشبكة المحلية للمطور. النظام أو استخدام أساليب الهندسة الاجتماعية.

أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها ، يمكنك التحقق من التفاصيل في الرابط التالي.


اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.