Tundmatud ründajad said kontrolli Pythoni paketi ctx ja PHP teegi phpass üle, misjärel postitasid nad värskendusi pahatahtliku sisestusega, mis saatis keskkonnamuutujate sisu välisserverisse, lootes varastada AWS-i ja pidevate integratsioonisüsteemide märgid. Olemasoleva statistika kohaselt laaditakse Pythoni paketti 'ctx' PyPI hoidlast alla umbes 22 tuhat korda nädalas. PHP paketti phpass levitatakse Composeri hoidla kaudu ja seda on praeguseks alla laaditud üle 2.5 miljoni korra.
Ctx-is postitati pahatahtlik kood 15. mail versioonis 0.2.2, 26. mail versioonis 0.2.6 ja 21. mail vahetati välja vana, algselt 0.1.2. aastal moodustatud versioon 2014. Arvatakse, et juurdepääs saadi arendaja konto ohustamise tulemusena.
Mis puudutab PHP paketti phpass, siis pahatahtlik kood integreeriti uue GitHubi hoidla registreerimise kaudu sama nimega hautelook/phpass (algse hoidla omanik kustutas oma hautelooki konto, mida ründaja ära kasutas ja registreeris uue konto sama nimega ja postitas selle alla, seal on pahatahtliku koodiga phpassi hoidla). Viis päeva tagasi lisati hoidlasse muudatus, mis saadab keskkonnamuutujate AWS_ACCESS_KEY ja AWS_SECRET_KEY sisu välisserverisse.
Katse paigutada pahatahtlikku paketti Composeri hoidlasse blokeeriti kiiresti ja rikutud hautelook/phpass pakett suunati ümber paketti bordoni/phpass, mis jätkab projekti arendamist. Ctx-is ja phpassis saadeti keskkonnamuutujad samale serverile "anti-theft-web.herokuapp[.]com", mis näitab, et pakettide püüdmise rünnakud viis läbi sama isik.
Allikas: opennet.ru