Nekonataj atakantoj akiris kontrolon de la Python-pakaĵo ctx kaj la PHP-biblioteko phpass, post kiuj ili afiŝis ĝisdatigojn kun malica enmetaĵo, kiu sendis la enhavon de mediaj variabloj al ekstera servilo kun la atendo ŝteli ĵetonojn al AWS kaj kontinuaj integrigaj sistemoj. Laŭ disponeblaj statistikoj, la Python-pakaĵo 'ctx' estas elŝutita el la deponejo de PyPI ĉirkaŭ 22 mil fojojn semajne. La phpass PHP-pakaĵo estas distribuita tra la Composer-deponejo kaj estis elŝutita pli ol 2.5 milionojn da fojoj ĝis nun.
En ctx, la malica kodo estis afiŝita la 15-an de majo en eldono 0.2.2, la 26-an de majo en eldono 0.2.6, kaj la 21-an de majo la malnova eldono 0.1.2, origine formita en 2014, estis anstataŭigita. Oni kredas, ke aliro estis akirita kiel rezulto de la konto de la programisto kompromitita.
Koncerne la PHP-pakaĵon phpass, la malica kodo estis integrita per la registrado de nova GitHub-deponejo kun la sama nomo hautelook/phpass (la posedanto de la origina deponejo forigis sian hautelook-konton, kiun la atakanto profitis kaj registris novan konton. kun la sama nomo kaj afiŝita ĝin sub tie estas phpass-deponejo kun malica kodo). Antaŭ kvin tagoj, ŝanĝo estis aldonita al la deponejo, kiu sendas la enhavon de la mediovariabloj AWS_ACCESS_KEY kaj AWS_SECRET_KEY al la ekstera servilo.
Provo meti malican pakaĵon en la Composer-deponejon estis rapide blokita kaj la kompromitita hautelook/phpass-pakaĵo estis redirektita al la bordoni/phpass-pakaĵo, kiu daŭrigas la evoluon de la projekto. En ctx kaj phpass, mediovariabloj estis senditaj al la sama servilo "anti-theft-web.herokuapp[.]com", indikante ke la pakaj kaptakoj estis aranĝitaj fare de la sama persono.
fonto: opennet.ru