Tuntemattomat hyökkääjät saivat hallintaansa Python-paketin ctx ja PHP-kirjaston phpass, minkä jälkeen he julkaisivat päivitykset haitallisella lisäyksellä, joka lähetti ympäristömuuttujien sisällön ulkoiselle palvelimelle odottaen AWS:n ja jatkuvan integrointijärjestelmän tokenien varastamista. Saatavilla olevien tilastojen mukaan Python-paketti 'ctx' ladataan PyPI-varastosta noin 22 tuhatta kertaa viikossa. Phpass PHP -paketti on jaettu Composer-tietovaraston kautta, ja se on ladattu tähän mennessä yli 2.5 miljoonaa kertaa.
Ctx:ssä haitallinen koodi julkaistiin 15. toukokuuta julkaisussa 0.2.2, 26. toukokuuta versiossa 0.2.6 ja 21. toukokuuta vanha, alun perin vuonna 0.1.2 muodostettu versio 2014 korvattiin. Uskotaan, että käyttöoikeus saatiin kehittäjän tilin vaarantumisen seurauksena.
Mitä tulee PHP-pakettiin phpass, haitallinen koodi integroitiin rekisteröimällä uusi GitHub-tietovarasto samalla nimellä hautelook/phpass (alkuperäisen tietovaraston omistaja poisti hautelook-tilinsä, jota hyökkääjä käytti hyväkseen ja rekisteröi uuden tilin samalla nimellä ja lähettänyt sen alla on phpass-arkisto haitallisella koodilla). Viisi päivää sitten arkistoon lisättiin muutos, joka lähettää ympäristömuuttujien AWS_ACCESS_KEY ja AWS_SECRET_KEY sisällön ulkoiselle palvelimelle.
Yritys sijoittaa haitallinen paketti Composer-arkistoon estettiin nopeasti ja vaarantunut hautelook/phpass-paketti ohjattiin bordoni/phpass-pakettiin, joka jatkaa projektin kehitystä. Ctx:ssä ja phpassissa ympäristömuuttujat lähetettiin samalle palvelimelle "anti-theft-web.herokuapp[.]com", mikä osoitti, että pakettikaappaushyökkäykset suoritti sama henkilö.
Lähde: opennet.ru