Óþekktir árásarmenn náðu stjórn á Python pakkanum ctx og PHP bókasafninu phpass, eftir það birtu þeir uppfærslur með illgjarnri innskot sem sendi innihald umhverfisbreyta til ytri netþjóns með von um að stela táknum til AWS og samþættingarkerfa. Samkvæmt tiltækri tölfræði er Python pakkanum 'ctx' hlaðið niður af PyPI geymslunni um 22 þúsund sinnum í viku. phpass PHP pakkanum er dreift í gegnum Composer geymsluna og hefur verið hlaðið niður meira en 2.5 milljón sinnum hingað til.
Í ctx var illgjarn kóðinn settur inn 15. maí í útgáfu 0.2.2, 26. maí í útgáfu 0.2.6 og 21. maí var gamla útgáfunni 0.1.2, sem upphaflega var stofnað árið 2014, skipt út. Talið er að aðgangur hafi fengist í kjölfar þess að reikningur framkvæmdaraðila var í hættu.
Hvað varðar PHP pakkann phpass, þá var illgjarn kóðinn samþættur með skráningu nýrrar GitHub geymslu með sama nafni hautelook/phpass (eigandi upprunalegu geymslunnar eyddi hautelook reikningnum sínum, sem árásarmaðurinn nýtti sér og skráði nýjan reikning með sama nafni og setti það undir það er phpass geymsla með skaðlegum kóða). Fyrir fimm dögum síðan var breyting bætt við geymsluna sem sendir innihald AWS_ACCESS_KEY og AWS_SECRET_KEY umhverfisbreytanna til ytri netþjónsins.
Tilraun til að setja skaðlegan pakka í Composer geymsluna var fljótt læst og hautelook/phpass pakkanum sem var í hættu var vísað á bordoni/phpass pakkann, sem heldur áfram þróun verkefnisins. Í ctx og phpass voru umhverfisbreytur sendar á sama netþjóninn „anti-theft-web.herokuapp[.]com“ sem gefur til kynna að pakkafangaárásirnar hafi verið framkvæmdar af sama einstaklingi.
Heimild: opennet.ru