Ukendte angribere fik kontrol over Python-pakken ctx og PHP-biblioteket phpass, hvorefter de postede opdateringer med en ondsindet insert, der sendte indholdet af miljøvariabler til en ekstern server med forventning om at stjæle tokens til AWS og kontinuerlige integrationssystemer. Ifølge tilgængelig statistik downloades Python-pakken 'ctx' fra PyPI-lageret omkring 22 tusinde gange om ugen. Phpass PHP-pakken distribueres gennem Composer-depotet og er blevet downloadet mere end 2.5 millioner gange indtil videre.
I ctx blev den ondsindede kode udgivet den 15. maj i release 0.2.2, den 26. maj i release 0.2.6, og den 21. maj blev den gamle version 0.1.2, der oprindeligt blev dannet i 2014, erstattet. Det menes, at adgangen blev opnået som følge af, at udviklerens konto blev kompromitteret.
Hvad angår PHP-pakken phpass, blev den ondsindede kode integreret gennem registreringen af et nyt GitHub-lager med samme navn hautelook/phpass (ejeren af det originale lager slettede sin hautelook-konto, hvilket angriberen udnyttede og registrerede en ny konto med samme navn og postet det under, er der et phpass-lager med ondsindet kode). For fem dage siden blev der tilføjet en ændring til lageret, der sender indholdet af miljøvariablerne AWS_ACCESS_KEY og AWS_SECRET_KEY til den eksterne server.
Et forsøg på at placere en ondsindet pakke i Composer-lageret blev hurtigt blokeret, og den kompromitterede hautelook/phpass-pakke blev omdirigeret til bordoni/phpass-pakken, som fortsætter udviklingen af projektet. I ctx og phpass blev miljøvariabler sendt til den samme server "anti-theft-web.herokuapp[.]com", hvilket indikerer, at pakkefangst-angrebene blev udført af den samme person.
Kilde: opennet.ru