Des attaquants inconnus ont pris le contrôle du package Python ctx et de la bibliothèque PHP phpass, après quoi ils ont publié des mises à jour avec un insert malveillant qui envoyait le contenu des variables d'environnement à un serveur externe dans l'espoir de voler des jetons à AWS et aux systèmes d'intégration continue. Selon les statistiques disponibles, le package Python « ctx » est téléchargé depuis le référentiel PyPI environ 22 2.5 fois par semaine. Le package PHP phpass est distribué via le référentiel Composer et a été téléchargé jusqu'à présent plus de XNUMX millions de fois.
Dans ctx, le code malveillant a été publié le 15 mai dans la version 0.2.2, le 26 mai dans la version 0.2.6 et le 21 mai, l'ancienne version 0.1.2, initialement créée en 2014, a été remplacée. On pense que l'accès a été obtenu suite à la compromission du compte du développeur.
Quant au package PHP phpass, le code malveillant a été intégré via l'enregistrement d'un nouveau dépôt GitHub du même nom hautelook/phpass (le propriétaire du dépôt d'origine a supprimé son compte hautelook, dont l'attaquant a profité et a enregistré un nouveau compte avec le même nom et l'a posté sous il y a un référentiel phpass avec du code malveillant). Il y a cinq jours, une modification a été ajoutée au référentiel qui envoie le contenu des variables d'environnement AWS_ACCESS_KEY et AWS_SECRET_KEY au serveur externe.
Une tentative de placement d'un package malveillant dans le référentiel Composer a été rapidement bloquée et le package hautelook/phpass compromis a été redirigé vers le package bordoni/phpass, qui poursuit le développement du projet. Dans ctx et phpass, les variables d'environnement ont été envoyées au même serveur "anti-theft-web.herokuapp[.]com", indiquant que les attaques de capture de paquets ont été effectuées par la même personne.
Source: opennet.ru