ctx (versões afetadas não especificadas)

O projeto ctx no PyPI foi comprometido, e uma versão maliciosa foi enviada, a qual coleta variáveis de ambiente, incluindo dados confidenciais como senhas e chaves de API, tais como AWS ACCESS KEY ID e AWS SECRET ACCESS KEY, ao instanciar objetos Ctx. Os dados capturados são enviados para um aplicativo Heroku em “https://anti-theft-web.herokuapp.com”. Se o pacote foi instalado entre 14 de maio de 2022 e 24 de maio de 2022, e as variáveis de ambiente contêm informações confidenciais, recomenda-se alternar senhas e chaves e realizar uma auditoria para determinar se elas foram exploradas.

Alterne senhas e chaves e, em seguida, realize uma auditoria para determinar se elas foram exploradas.

Como solução temporária, considere evitar o uso de variáveis de ambiente confidenciais, como AWS ACCESS KEY ID e AWS SECRET ACCESS KEY, até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.