Άγνωστοι εισβολείς απέκτησαν τον έλεγχο του πακέτου Python ctx και του phpass της βιβλιοθήκης PHP, μετά από το οποίο δημοσίευσαν ενημερώσεις με ένα κακόβουλο ένθετο που έστελνε τα περιεχόμενα των μεταβλητών περιβάλλοντος σε έναν εξωτερικό διακομιστή με την προσδοκία να κλέψουν διακριτικά σε AWS και συστήματα συνεχούς ενοποίησης. Σύμφωνα με τα διαθέσιμα στατιστικά στοιχεία, το πακέτο Python «ctx» γίνεται λήψη από το αποθετήριο PyPI περίπου 22 χιλιάδες φορές την εβδομάδα. Το πακέτο phpass PHP διανέμεται μέσω του αποθετηρίου Composer και έχει ληφθεί περισσότερες από 2.5 εκατομμύρια φορές μέχρι στιγμής.
Στο ctx, ο κακόβουλος κώδικας δημοσιεύτηκε στις 15 Μαΐου στην έκδοση 0.2.2, στις 26 Μαΐου στην έκδοση 0.2.6 και στις 21 Μαΐου η παλιά έκδοση 0.1.2, που αρχικά δημιουργήθηκε το 2014, αντικαταστάθηκε. Πιστεύεται ότι η πρόσβαση αποκτήθηκε ως αποτέλεσμα της παραβίασης του λογαριασμού του προγραμματιστή.
Όσον αφορά το πακέτο PHP phpass, ο κακόβουλος κώδικας ενσωματώθηκε μέσω της εγγραφής ενός νέου αποθετηρίου GitHub με το ίδιο όνομα hautelook/phpass (ο κάτοχος του αρχικού αποθετηρίου διέγραψε τον λογαριασμό του hautelook, τον οποίο εκμεταλλεύτηκε ο εισβολέας και κατέγραψε νέο λογαριασμό με το ίδιο όνομα και το δημοσιεύτηκε κάτω από υπάρχει ένα αποθετήριο phpass με κακόβουλο κώδικα). Πριν από πέντε ημέρες, προστέθηκε μια αλλαγή στο χώρο αποθήκευσης που στέλνει τα περιεχόμενα των μεταβλητών περιβάλλοντος AWS_ACCESS_KEY και AWS_SECRET_KEY στον εξωτερικό διακομιστή.
Μια προσπάθεια τοποθέτησης ενός κακόβουλου πακέτου στο αποθετήριο Composer αποκλείστηκε γρήγορα και το παραβιασμένο πακέτο hautelook/phpass ανακατευθύνθηκε στο πακέτο bordoni/phpass, το οποίο συνεχίζει την ανάπτυξη του έργου. Στο ctx και το phpass, οι μεταβλητές περιβάλλοντος στάλθηκαν στον ίδιο διακομιστή "anti-theft-web.herokuapp[.]com", υποδεικνύοντας ότι οι επιθέσεις καταγραφής πακέτων πραγματοποιήθηκαν από το ίδιο άτομο.
Πηγή: opennet.ru