سيطر مهاجمون غير معروفين على حزمة Python ctx ومكتبة PHP phpass، وبعد ذلك نشروا تحديثات بإدراج ضار أرسل محتويات متغيرات البيئة إلى خادم خارجي مع توقع سرقة الرموز المميزة إلى AWS وأنظمة التكامل المستمر. وفقًا للإحصائيات المتاحة، يتم تنزيل حزمة Python 'ctx' من مستودع PyPI حوالي 22 ألف مرة في الأسبوع. يتم توزيع حزمة phpass PHP من خلال مستودع Composer وتم تنزيلها أكثر من 2.5 مليون مرة حتى الآن.
في ctx، تم نشر التعليمات البرمجية الضارة في 15 مايو في الإصدار 0.2.2، وفي 26 مايو في الإصدار 0.2.6، وفي 21 مايو، تم استبدال الإصدار القديم 0.1.2، الذي تم تشكيله في الأصل في عام 2014. يُعتقد أنه تم الحصول على الوصول نتيجة لاختراق حساب المطور.
أما بالنسبة لحزمة PHP phpass، فقد تم دمج الكود الخبيث من خلال تسجيل مستودع GitHub جديد بنفس الاسم hautelook/phpass (قام صاحب المستودع الأصلي بحذف حساب hautelook الخاص به، وهو ما استغله المهاجم وقام بتسجيل حساب جديد) بنفس الاسم ونشره تحت وجود مستودع phpass يحتوي على تعليمات برمجية ضارة). منذ خمسة أيام، تمت إضافة تغيير إلى المستودع الذي يرسل محتويات متغيرات البيئة AWS_ACCESS_KEY وAWS_SECRET_KEY إلى الخادم الخارجي.
تم حظر محاولة وضع حزمة ضارة في مستودع Composer بسرعة وتمت إعادة توجيه حزمة hautelook/phpass المخترقة إلى حزمة bordoni/phpass، التي تواصل تطوير المشروع. في ctx وphpass، تم إرسال متغيرات البيئة إلى نفس الخادم "anti-theft-web.herokuapp[.]com"، مما يشير إلى أن هجمات التقاط الحزم تم تنفيذها بواسطة نفس الشخص.
المصدر: opennet.ru