Neznámí útočníci získali kontrolu nad balíčkem Python ctx a PHP knihovnou phpass, načež zveřejnili aktualizace se škodlivou vložkou, která odeslala obsah proměnných prostředí na externí server s očekáváním krádeže tokenů do AWS a systémů průběžné integrace. Podle dostupných statistik je balíček Python 'ctx' stažen z úložiště PyPI asi 22 tisíckrát týdně. Balíček phpass PHP je distribuován prostřednictvím úložiště Composer a dosud byl stažen více než 2.5 milionukrát.
V ctx byl škodlivý kód zveřejněn 15. května ve verzi 0.2.2, 26. května ve verzi 0.2.6 a 21. května byla nahrazena stará verze 0.1.2, původně vytvořená v roce 2014. Předpokládá se, že přístup byl získán v důsledku kompromitace účtu vývojáře.
Co se týče PHP balíčku phpass, škodlivý kód byl integrován prostřednictvím registrace nového úložiště GitHub se stejným názvem hautelook/phpass (majitel původního úložiště smazal svůj hautelook účet, čehož útočník využil a zaregistroval si nový účet se stejným názvem a uveřejněno pod je zde phpass úložiště se škodlivým kódem). Před pěti dny byla do úložiště přidána změna, která odesílá obsah proměnných prostředí AWS_ACCESS_KEY a AWS_SECRET_KEY na externí server.
Pokus o umístění škodlivého balíčku do úložiště Composer byl rychle zablokován a kompromitovaný balíček hautelook/phpass byl přesměrován na balíček bordoni/phpass, který pokračuje ve vývoji projektu. V ctx a phpass byly proměnné prostředí odeslány na stejný server „anti-theft-web.herokuapp[.]com“, což naznačuje, že útoky na zachycení paketů byly provedeny stejnou osobou.
Zdroj: opennet.ru