Onbekannt Ugräifer hunn d'Kontroll iwwer de Python-Package ctx an der PHP-Bibliothéik phpass gewonnen, duerno hunn se Updates mat engem béiswëllegen Insert gepost, deen den Inhalt vun den Ëmfeldvariablen op en externen Server geschéckt huet mat der Erwaardung fir Tokens op AWS a kontinuéierlech Integratiounssystemer ze klauen. No verfügbare Statistike gëtt de Python Package 'ctx' aus dem PyPI Repository ongeféier 22 Tausend Mol d'Woch erofgelueden. De phpass PHP Package gëtt duerch de Composer Repository verdeelt a gouf bis elo méi wéi 2.5 Millioune Mol erofgelueden.
Am ctx gouf de béisaarteg Code de 15. Mee an der Verëffentlechung 0.2.2 gepost, de 26. Mee an der Verëffentlechung 0.2.6, an den 21. Mee déi al Verëffentlechung 0.1.2, ursprénglech am Joer 2014 geformt, ersat. Et gëtt ugeholl datt den Zougang als Resultat vum Entwéckler Kont kompromittéiert gouf.
Wat de PHP Package phpass ugeet, gouf de béisaarteg Code duerch d'Registrierung vun engem neie GitHub Repository mam selwechten Numm hautelook/phpass integréiert (de Besëtzer vum Original Repository huet säin Hautelook Kont geläscht, deen den Ugräifer profitéiert huet an en neie Kont registréiert huet mam selwechten Numm a gepost et ënner do ass e phpass Repository mat béiswëllegen Code). Virun fënnef Deeg gouf eng Ännerung an de Repository bäigefüügt, deen den Inhalt vun den AWS_ACCESS_KEY an AWS_SECRET_KEY Ëmfeldvariablen op den externen Server schéckt.
E Versuch fir e béiswëlleg Package am Composer Repository ze placéieren gouf séier blockéiert an de kompromittéierten Hautelook/phpass Package gouf op de Bordoni/phpass Package ëmgeleet, wat d'Entwécklung vum Projet weidergeet. An ctx a phpass goufen Ëmfeldvariablen op dee selwechte Server "anti-theft-web.herokuapp[.]com" geschéckt, wat beweist datt d'Packet Capture Attacke vun der selwechter Persoun duerchgefouert goufen.
Source: opennet.ru