未知の攻撃者は、Python パッケージ ctx と PHP ライブラリ phpass の制御を取得し、その後、AWS および継続的インテグレーション システムへのトークンを盗むことを目的として、環境変数の内容を外部サーバーに送信する悪意のある挿入を含む更新を投稿しました。 入手可能な統計によると、Python パッケージ「ctx」は PyPI リポジトリから週に約 22 回ダウンロードされます。 phpass PHP パッケージは Composer リポジトリを通じて配布されており、これまでに 2.5 万回以上ダウンロードされています。
ctx では、悪意のあるコードは 15 月 0.2.2 日にリリース 26 で、0.2.6 月 21 日にリリース 0.1.2 で投稿され、2014 月 XNUMX 日には XNUMX 年に作成された古いリリース XNUMX が置き換えられました。 開発者のアカウントが侵害された結果、アクセスが取得されたと考えられています。
PHP パッケージ phpass に関しては、hautelook/phpass という同じ名前の新しい GitHub リポジトリの登録を通じて悪意のあるコードが統合されました (元のリポジトリの所有者は hautelook アカウントを削除しましたが、攻撃者はそれを利用して新しいアカウントを登録しました)同じ名前で投稿し、悪意のあるコードを含む phpass リポジトリがあります)。 XNUMX 日前、AWS_ACCESS_KEY および AWS_SECRET_KEY 環境変数の内容を外部サーバーに送信する変更がリポジトリに追加されました。
Composer リポジトリに悪意のあるパッケージを配置しようとする試みはすぐにブロックされ、侵害された hautelook/phpass パッケージは bordoni/phpass パッケージにリダイレクトされ、プロジェクトの開発が継続されました。 ctx と phpass では、環境変数が同じサーバー「anti-theft-web.herokuapp[.]com」に送信されており、パケット キャプチャ攻撃が同一人物によって実行されたことがわかります。
出所: オープンネット.ru