Unbekannte Angreifer erlangten die Kontrolle über das Python-Paket ctx und die PHP-Bibliothek phpass und veröffentlichten anschließend Updates mit einer böswilligen Einfügung, die den Inhalt von Umgebungsvariablen an einen externen Server schickte, in der Erwartung, Token an AWS und kontinuierliche Integrationssysteme zu stehlen. Den verfügbaren Statistiken zufolge wird das Python-Paket „ctx“ etwa 22 Mal pro Woche aus dem PyPI-Repository heruntergeladen. Das PHP-Paket phpass wird über das Composer-Repository verteilt und wurde bisher mehr als 2.5 Millionen Mal heruntergeladen.
In ctx wurde der Schadcode am 15. Mai in Version 0.2.2, am 26. Mai in Version 0.2.6 veröffentlicht und am 21. Mai wurde die alte Version 0.1.2, die ursprünglich im Jahr 2014 erstellt wurde, ersetzt. Es wird angenommen, dass der Zugriff auf die Kompromittierung des Kontos des Entwicklers zurückzuführen ist.
Was das PHP-Paket phpass betrifft, so wurde der Schadcode durch die Registrierung eines neuen GitHub-Repositorys mit dem gleichen Namen hautelook/phpass integriert (der Besitzer des ursprünglichen Repositorys löschte sein Hautelook-Konto, was der Angreifer ausnutzte und ein neues Konto registrierte). mit demselben Namen erstellt und unter „Es gibt ein PHPASS-Repository mit Schadcode“ veröffentlicht. Vor fünf Tagen wurde dem Repository eine Änderung hinzugefügt, die den Inhalt der Umgebungsvariablen AWS_ACCESS_KEY und AWS_SECRET_KEY an den externen Server sendet.
Ein Versuch, ein bösartiges Paket im Composer-Repository zu platzieren, wurde schnell blockiert und das kompromittierte hautelook/phpass-Paket wurde zum bordoni/phpass-Paket umgeleitet, das die Entwicklung des Projekts fortsetzt. In ctx und phpass wurden Umgebungsvariablen an denselben Server „anti-theft-web.herokuapp[.]com“ gesendet, was darauf hinweist, dass die Paketerfassungsangriffe von derselben Person durchgeführt wurden.
Source: opennet.ru