Populaire PHP en Python libraries gebruikt voor het stelen van AWS credentials

25 mei 2022

Er is melding gemaakt van een nieuwe 'supply chain attack' via PHP library 'phpass' en Python module 'ctx'. In beide gevallen is code aan deze modules toegevoegd die AWS credentials zoekt in systeemvariabelen en die doorgeeft aan de aanvaller.

De PHP library 'phpass' wordt onder andere in Joomla toegepast. We hebben op de servers die we beheren gezocht naar deze library en bekeken of installaties die we vonden deze de kwaadaardige code bevat. Dat was gelukkig niet het geval.

We hebben de Python module ctx niet terug kunnen vinden op servers die we beheren.

We raden gebruikers van deze libraries aan om te controleren of de files zijn geinfecteerd door de aanvaller. Zie https://isc.sans.edu/diary/28678 en https://blog.sonatype.com/pypi-package-ctx-compromised-are-you-at-risk voor meer informatie.