Os atacantes descoñecidos conseguiron o control do paquete Python ctx e da biblioteca PHP phpass, tras o que publicaron actualizacións cunha inserción maliciosa que enviaba o contido das variables de ambiente a un servidor externo coa expectativa de roubar tokens a AWS e sistemas de integración continua. Segundo as estatísticas dispoñibles, o paquete de Python 'ctx' descárgase do repositorio de PyPI unhas 22 mil veces por semana. O paquete PHP phpass distribúese a través do repositorio de Composer e descargouse máis de 2.5 millóns de veces ata agora.
En ctx, o código malicioso publicouse o 15 de maio na versión 0.2.2, o 26 de maio na versión 0.2.6 e o 21 de maio substituíuse a antiga versión 0.1.2, creada orixinalmente en 2014. Crese que o acceso se obtivo como resultado de que a conta do programador se viu comprometida.
En canto ao paquete PHP phpass, o código malicioso integrouse mediante o rexistro dun novo repositorio de GitHub co mesmo nome hautelook/phpass (o propietario do repositorio orixinal eliminou a súa conta hautelook, que o atacante aproveitou e rexistrou unha nova conta). co mesmo nome e publicado baixo hai un repositorio phpass con código malicioso). Hai cinco días, engadiuse un cambio ao repositorio que envía o contido das variables de ambiente AWS_ACCESS_KEY e AWS_SECRET_KEY ao servidor externo.
Bloqueouse rapidamente un intento de colocar un paquete malicioso no repositorio de Composer e o paquete hautelook/phpass comprometido foi redirixido ao paquete bordoni/phpass, que continúa co desenvolvemento do proxecto. En ctx e phpass, as variables de ambiente enviáronse ao mesmo servidor "anti-theft-web.herokuapp[.]com", indicando que os ataques de captura de paquetes foron realizados pola mesma persoa.
Fonte: opennet.ru