Nepoznati napadači su preuzeli kontrolu nad Python paketom ctx i PHP bibliotekom phpass, nakon čega su objavili ažuriranja sa zlonamjernim umetkom koji je slao sadržaj varijabli okruženja na eksterni server uz očekivanje krađe tokena na AWS i sisteme kontinuirane integracije. Prema dostupnim statistikama, Python paket 'ctx' se preuzima iz PyPI repozitorija oko 22 hiljade puta sedmično. PHP paket phpass se distribuira preko skladišta Composer i do sada je preuzet više od 2.5 miliona puta.
U ctx-u, zlonamjerni kod je objavljen 15. maja u izdanju 0.2.2, 26. maja u izdanju 0.2.6, a 21. maja je staro izdanje 0.1.2, prvobitno formirano 2014. godine, zamijenjeno. Vjeruje se da je pristup dobijen kao rezultat kompromitovanja računa programera.
Što se tiče PHP paketa phpass, maliciozni kod je integrisan kroz registraciju novog GitHub spremišta sa istim imenom hautelook/phpass (vlasnik originalnog spremišta je obrisao svoj hautelook nalog, što je napadač iskoristio i registrovao novi nalog sa istim imenom i postavljenim ispod postoji phpass spremište sa zlonamjernim kodom). Prije pet dana dodata je promjena u spremište koje šalje sadržaj varijabli okruženja AWS_ACCESS_KEY i AWS_SECRET_KEY na vanjski server.
Pokušaj smeštanja zlonamernog paketa u skladište Composer je brzo blokiran i kompromitovani hautelook/phpass paket je preusmeren na paket bordoni/phpass, čime se nastavlja razvoj projekta. U ctx i phpass, varijable okruženja su poslate na isti server "anti-theft-web.herokuapp[.]com", što ukazuje da je napade hvatanjem paketa izvršila ista osoba.
izvor: opennet.ru