Aggressori sconosciuti hanno preso il controllo del pacchetto Python ctx e della libreria PHP phpass, dopo di che hanno pubblicato aggiornamenti con un inserto dannoso che inviava il contenuto delle variabili d'ambiente a un server esterno con l'aspettativa di rubare token ad AWS e ai sistemi di integrazione continua. Secondo le statistiche disponibili, il pacchetto Python "ctx" viene scaricato dal repository PyPI circa 22mila volte a settimana. Il pacchetto PHP phpass Γ¨ distribuito tramite il repository Composer ed Γ¨ stato scaricato finora piΓΉ di 2.5 milioni di volte.
In ctx il codice dannoso Γ¨ stato pubblicato il 15 maggio nella versione 0.2.2, il 26 maggio nella versione 0.2.6 e il 21 maggio la vecchia versione 0.1.2, originariamente creata nel 2014, Γ¨ stata sostituita. Si ritiene che l'accesso sia stato ottenuto a seguito della compromissione dell'account dello sviluppatore.
Per quanto riguarda il pacchetto PHP phpass, il codice dannoso Γ¨ stato integrato attraverso la registrazione di un nuovo repository GitHub con lo stesso nome hautelook/phpass (il proprietario del repository originale ha cancellato il suo account hautelook, di cui l'aggressore ha approfittato e ha registrato un nuovo account con lo stesso nome e pubblicato sotto c'Γ¨ un repository phppass con codice dannoso). Cinque giorni fa Γ¨ stata aggiunta una modifica al repository che invia il contenuto delle variabili di ambiente AWS_ACCESS_KEY e AWS_SECRET_KEY al server esterno.
Un tentativo di inserire un pacchetto dannoso nel repository Composer Γ¨ stato rapidamente bloccato e il pacchetto hautelook/phpass compromesso Γ¨ stato reindirizzato al pacchetto bordoni/phpass, che continua lo sviluppo del progetto. In ctx e phpass, le variabili di ambiente venivano inviate allo stesso server "anti-theft-web.herokuapp[.]com", indicando che gli attacchi di cattura dei pacchetti erano stati effettuati dalla stessa persona.
Fonte: opennet.ru