Els atacants desconeguts van aconseguir el control del paquet Python ctx i la biblioteca PHP phpass, després de la qual cosa van publicar actualitzacions amb una inserció maliciosa que enviava el contingut de les variables d'entorn a un servidor extern amb l'expectativa de robar fitxes a AWS i sistemes d'integració contínua. Segons les estadístiques disponibles, el paquet Python 'ctx' es descarrega des del repositori PyPI unes 22 mil vegades per setmana. El paquet PHP phpass es distribueix a través del repositori Composer i fins ara s'ha baixat més de 2.5 milions de vegades.
A ctx, el codi maliciós es va publicar el 15 de maig a la versió 0.2.2, el 26 de maig a la versió 0.2.6 i el 21 de maig es va substituir l'antiga versió 0.1.2, creada originalment el 2014. Es creu que l'accés es va obtenir com a resultat que el compte del desenvolupador es va veure compromès.
Pel que fa al paquet PHP phpass, el codi maliciós es va integrar mitjançant el registre d'un nou repositori GitHub amb el mateix nom hautelook/phpass (el propietari del repositori original va esborrar el seu compte hautelook, que l'atacant va aprofitar i va registrar un compte nou). amb el mateix nom i publicat sota hi ha un repositori phppass amb codi maliciós). Fa cinc dies, es va afegir un canvi al repositori que envia el contingut de les variables d'entorn AWS_ACCESS_KEY i AWS_SECRET_KEY al servidor extern.
Un intent de col·locar un paquet maliciós al repositori del Composer es va bloquejar ràpidament i el paquet hautelook/phpass compromès es va redirigir al paquet bordoni/phpass, que continua el desenvolupament del projecte. En ctx i phpass, les variables d'entorn s'envien al mateix servidor "anti-theft-web.herokuapp[.]com", indicant que els atacs de captura de paquets els va dur a terme la mateixa persona.
Font: opennet.ru