Անհայտ գրոհայինները վերահսկողություն ձեռք բերեցին Python փաթեթի ctx-ի և PHP գրադարանի phpass-ի վրա, որից հետո նրանք տեղադրեցին թարմացումներ վնասակար ներդիրով, որն ուղարկում էր շրջակա միջավայրի փոփոխականների բովանդակությունը արտաքին սերվեր՝ AWS-ի և շարունակական ինտեգրման համակարգերից թոքեններ գողանալու ակնկալիքով: Ըստ առկա վիճակագրության՝ Python «ctx» փաթեթը ներբեռնվում է PyPI-ի պահոցից շաբաթական մոտ 22 հազար անգամ: phpass PHP փաթեթը բաշխվում է Composer պահեստի միջոցով և մինչ այժմ ներբեռնվել է ավելի քան 2.5 միլիոն անգամ։
ctx-ում չարամիտ ծածկագիրը տեղադրվել է մայիսի 15-ին 0.2.2 թողարկումում, մայիսի 26-ին՝ 0.2.6 թողարկումում, իսկ մայիսի 21-ին փոխարինվել է հին թողարկումը՝ 0.1.2, որը սկզբնապես ձևավորվել էր 2014 թվականին։ Ենթադրվում է, որ մուտքը ձեռք է բերվել ծրագրավորողի հաշիվը վտանգի ենթարկվելու արդյունքում:
Ինչ վերաբերում է PHP փաթեթի phpass-ին, ապա չարամիտ կոդը ինտեգրվել է նոր GitHub պահեստի գրանցման միջոցով՝ նույն անունով hautelook/phpass (բնօրինակ պահոցի սեփականատերը ջնջել է իր hautelook հաշիվը, ինչից օգտվել է հարձակվողը և գրանցել նոր հաշիվ։ նույն անունով և տեղադրվել է դրա տակ, կա phpass պահեստ՝ վնասակար կոդով): Հինգ օր առաջ պահոցում փոփոխություն է ավելացվել, որն ուղարկում է AWS_ACCESS_KEY և AWS_SECRET_KEY միջավայրի փոփոխականների բովանդակությունը արտաքին սերվեր:
Կոմպոզիտորի պահոցում վնասակար փաթեթ տեղադրելու փորձն արագ արգելափակվեց, և վտանգված hautelook/phpass փաթեթը վերահղվեց դեպի bordoni/phpass փաթեթ, որը շարունակում է նախագծի զարգացումը: ctx-ում և phpass-ում շրջակա միջավայրի փոփոխականներն ուղարկվել են նույն սերվերին՝ «anti-theft-web.herokuapp[.]com»՝ ցույց տալով, որ փաթեթների գրավման հարձակումներն իրականացվել են նույն անձի կողմից:
Source: opennet.ru