Atacantes desconocidos tomaron el control del paquete Python ctx y de la biblioteca PHP phpass, después de lo cual publicaron actualizaciones con un inserto malicioso que enviaba el contenido de las variables de entorno a un servidor externo con la expectativa de robar tokens para AWS y los sistemas de integración continua. Según las estadísticas disponibles, el paquete Python 'ctx' se descarga del repositorio de PyPI unas 22 mil veces por semana. El paquete PHP phpass se distribuye a través del repositorio Composer y hasta ahora se ha descargado más de 2.5 millones de veces.
En ctx, el código malicioso se publicó el 15 de mayo en la versión 0.2.2, el 26 de mayo en la versión 0.2.6 y el 21 de mayo se reemplazó la versión anterior 0.1.2, creada originalmente en 2014. Se cree que el acceso se obtuvo como resultado de que la cuenta del desarrollador estuviera comprometida.
En cuanto al paquete PHP phpass, el código malicioso se integró mediante el registro de un nuevo repositorio de GitHub con el mismo nombre hautelook/phpass (el propietario del repositorio original eliminó su cuenta hautelook, lo cual el atacante aprovechó y registró una nueva cuenta con el mismo nombre y lo publicó debajo hay un repositorio phpass con código malicioso). Hace cinco días se agregó un cambio al repositorio que envía el contenido de las variables de entorno AWS_ACCESS_KEY y AWS_SECRET_KEY al servidor externo.
Un intento de colocar un paquete malicioso en el repositorio de Composer fue rápidamente bloqueado y el paquete hautelook/phpass comprometido fue redirigido al paquete bordoni/phpass, que continúa el desarrollo del proyecto. En ctx y phpass, las variables de entorno se enviaron al mismo servidor "anti-theft-web.herokuapp[.]com", lo que indica que los ataques de captura de paquetes fueron realizados por la misma persona.
Fuente: opennet.ru