مهاجمان ناشناس کنترل بسته Python ctx و phpass کتابخانه PHP را به دست آوردند، پس از آن بهروزرسانیهایی را با یک درج مخرب ارسال کردند که محتویات متغیرهای محیطی را به یک سرور خارجی با انتظار سرقت نشانهها به AWS و سیستمهای ادغام مداوم ارسال میکردند. طبق آمار موجود، بسته Python 'ctx' حدود 22 هزار بار در هفته از مخزن PyPI دانلود می شود. بسته phpass PHP از طریق مخزن Composer توزیع شده است و تاکنون بیش از 2.5 میلیون بار دانلود شده است.
در ctx، کد مخرب در تاریخ 15 می در نسخه 0.2.2، در 26 می در نسخه 0.2.6 ارسال شد و در 21 می نسخه قدیمی 0.1.2 که در ابتدا در سال 2014 تشکیل شده بود، جایگزین شد. اعتقاد بر این است که دسترسی در نتیجه به خطر افتادن حساب توسعه دهنده به دست آمده است.
در مورد phpass بسته PHP، کد مخرب از طریق ثبت یک مخزن جدید GitHub با همان نام hautelook/phpass یکپارچه شده است (صاحب مخزن اصلی حساب hautelook خود را حذف کرده است که مهاجم از آن استفاده کرده و یک حساب جدید ثبت کرده است. با همین نام و در زیر یک مخزن phpass با کد مخرب قرار دارد). پنج روز پیش، تغییری به مخزن اضافه شد که محتویات متغیرهای محیطی AWS_ACCESS_KEY و AWS_SECRET_KEY را به سرور خارجی ارسال می کند.
تلاش برای قرار دادن یک بسته مخرب در مخزن Composer به سرعت مسدود شد و بسته hautelook/phpass در معرض خطر به بسته bordoni/phpass هدایت شد که توسعه پروژه را ادامه میدهد. در ctx و phpass، متغیرهای محیطی به همان سرور "anti-theft-web.herokuapp[.]com فرستاده می شوند، که نشان می دهد حملات ضبط بسته توسط همان شخص انجام شده است.
منبع: opennet.ru