Unbekende oanfallers krigen kontrôle oer it Python-pakket ctx en de PHP-bibleteek phpass, wêrnei't se updates pleatsten mei in kweade ynfoegje dy't de ynhâld fan omjouwingsfariabelen stjoerde nei in eksterne server mei de ferwachting fan it stellen fan tokens nei AWS en kontinuze yntegraasjesystemen. Neffens beskikbere statistiken wurdt it Python-pakket 'ctx' sawat 22 tûzen kear yn 'e wike downloade fan it PyPI-repository. It phpass PHP-pakket wurdt ferspraat fia it Composer-repository en is oant no ta mear dan 2.5 miljoen kear ynladen.
Yn ctx waard de kweade koade pleatst op maaie 15 yn release 0.2.2, op maaie 26 yn release 0.2.6, en op maaie 21 de âlde release 0.1.2, oarspronklik foarme yn 2014, waard ferfongen. It wurdt leaud dat tagong waard krigen as gefolch fan it kompromittearjen fan it akkount fan 'e ûntwikkelder.
Wat it PHP-pakket phpass oanbelanget, waard de kweade koade yntegreare troch de registraasje fan in nij GitHub-repository mei deselde namme hautelook/phpass (de eigner fan it orizjinele repository hat syn hautelook-akkount wiske, wêrfan de oanfaller profitearre fan en registrearre in nij akkount mei deselde namme en pleatst it ûnder d'r is in phpass-repository mei kweade koade). Fiif dagen lyn waard in wiziging tafoege oan it repository dat de ynhâld fan 'e omjouwingsfariabelen AWS_ACCESS_KEY en AWS_SECRET_KEY nei de eksterne tsjinner stjoert.
In besykjen om in kwea-aardich pakket yn 'e Composer-repository te pleatsen waard fluch blokkearre en it kompromittearre hautelook/phpass-pakket waard omlaat nei it bordoni/phpass-pakket, dat de ûntwikkeling fan it projekt trochset. Yn ctx en phpass waarden omjouwingsfariabelen nei deselde tsjinner "anti-theft-web.herokuapp[.]com" stjoerd, wat oanjout dat de oanfallen fan pakketfangen troch deselde persoan útfierd waarden.
Boarne: opennet.ru