Ismeretlen támadók átvették az irányítást a Python ctx csomag és a PHP könyvtár phpass felett, majd frissítéseket tettek közzé egy rosszindulatú beszúrással, amely a környezeti változók tartalmát egy külső szerverre küldte azzal a céllal, hogy tokeneket lopjanak el az AWS-be és a folyamatos integrációs rendszerekbe. A rendelkezésre álló statisztikák szerint a Python 'ctx' csomagot hetente körülbelül 22 ezer alkalommal töltik le a PyPI tárolóból. A phpass PHP csomag a Composer repository-n keresztül kerül terjesztésre, és eddig több mint 2.5 millió alkalommal töltötték le.
A ctx-ben a rosszindulatú kód május 15-én került közzétételre a 0.2.2-es kiadásban, május 26-án a 0.2.6-os kiadásban, május 21-én pedig a régi, eredetileg 0.1.2-ben létrehozott 2014-es kiadást cserélték le. Úgy gondolják, hogy a hozzáférést a fejlesztői fiók feltörésének eredményeként szerezték meg.
Ami a PHP phpass csomagot illeti, a rosszindulatú kódot egy új, hautelook/phpass nevű GitHub tárhely regisztrációjával integrálták (az eredeti adattár tulajdonosa törölte a hautelook fiókját, amit a támadó kihasznált és új fiókot regisztrált ugyanazzal a névvel, és közzétette alatta van egy phpass tároló rosszindulatú kóddal). Öt nappal ezelőtt egy olyan módosítást adtunk a tárhoz, amely elküldi az AWS_ACCESS_KEY és AWS_SECRET_KEY környezeti változók tartalmát a külső kiszolgálónak.
Egy rosszindulatú csomag elhelyezésére irányuló kísérletet a Composer repository-ban gyorsan blokkolták, és a feltört hautelook/phpass csomagot átirányították a bordoni/phpass csomagba, amely folytatja a projekt fejlesztését. A ctx-ben és a phpass-ban a környezeti változókat ugyanarra a szerverre küldték el: „anti-theft-web.herokuapp[.]com”, jelezve, hogy a csomagrögzítési támadásokat ugyanaz a személy hajtotta végre.
Forrás: opennet.ru