Penyerang tak dikenal menguasai paket Python ctx dan perpustakaan PHP phpass, setelah itu mereka memposting pembaruan dengan sisipan berbahaya yang mengirimkan konten variabel lingkungan ke server eksternal dengan harapan mencuri token ke AWS dan sistem integrasi berkelanjutan. Menurut statistik yang tersedia, paket Python 'ctx' diunduh dari repositori PyPI sekitar 22 ribu kali seminggu. Paket phpass PHP didistribusikan melalui repositori Composer dan sejauh ini telah diunduh lebih dari 2.5 juta kali.
Di ctx, kode berbahaya diposting pada tanggal 15 Mei di rilis 0.2.2, pada tanggal 26 Mei di rilis 0.2.6, dan pada tanggal 21 Mei rilis lama 0.1.2, yang awalnya dibentuk pada tahun 2014, telah diganti. Akses tersebut diyakini diperoleh karena akun pengembang disusupi.
Sedangkan untuk paket PHP phpass, kode berbahaya diintegrasikan melalui pendaftaran repositori GitHub baru dengan nama yang sama hautelook/phpass (pemilik repositori asli menghapus akun hautelook-nya, yang dimanfaatkan penyerang dan mendaftarkan akun baru dengan nama yang sama dan diposting di bawahnya terdapat repositori phpass dengan kode berbahaya). Lima hari yang lalu, perubahan ditambahkan ke repositori yang mengirimkan konten variabel lingkungan AWS_ACCESS_KEY dan AWS_SECRET_KEY ke server eksternal.
Upaya untuk menempatkan paket jahat di repositori Komposer dengan cepat diblokir dan paket hautelook/phpass yang disusupi dialihkan ke paket bordoni/phpass, yang melanjutkan pengembangan proyek. Di ctx dan phpass, variabel lingkungan dikirim ke server yang sama "anti-theft-web.herokuapp[.]com", yang menunjukkan bahwa serangan penangkapan paket dilakukan oleh orang yang sama.
Sumber: opennet.ru