Nežinomi užpuolikai įgijo Python paketo ctx ir PHP bibliotekos phpass kontrolę, o po to paskelbė atnaujinimus su kenkėjišku įterpimu, kuris išsiuntė aplinkos kintamųjų turinį į išorinį serverį, tikėdamiesi pavogti žetonus į AWS ir nuolatinės integracijos sistemas. Remiantis turima statistika, Python paketas 'ctx' iš PyPI saugyklos atsisiunčiamas apie 22 tūkstančius kartų per savaitę. „phpass“ PHP paketas platinamas per „Composer“ saugyklą ir iki šiol buvo atsisiųstas daugiau nei 2.5 mln.
Ctx kenkėjiškas kodas buvo paskelbtas gegužės 15 d. 0.2.2 versijoje, gegužės 26 d. 0.2.6 versijoje, o gegužės 21 d. Manoma, kad prieiga buvo gauta dėl to, kad kūrėjo paskyra buvo pažeista.
Kalbant apie PHP paketą phpass, kenkėjiškas kodas buvo integruotas užregistravus naują GitHub saugyklą tuo pačiu pavadinimu hautelook/phpass (pirminės saugyklos savininkas ištrynė savo hautelook paskyrą, kuria užpuolikas pasinaudojo ir užregistravo naują paskyrą tuo pačiu pavadinimu ir paskelbė, kad yra phpass saugykla su kenkėjišku kodu). Prieš penkias dienas prie saugyklos buvo pridėtas pakeitimas, kuris išoriniam serveriui siunčia aplinkos kintamųjų AWS_ACCESS_KEY ir AWS_SECRET_KEY turinį.
Bandymas patalpinti kenkėjišką paketą į Composer saugyklą buvo greitai užblokuotas ir pažeistas hautelook/phpass paketas buvo nukreiptas į paketą bordoni/phpass, kuris tęsia projekto plėtrą. Ctx ir phpass aplinkos kintamieji buvo siunčiami į tą patį serverį „anti-theft-web.herokuapp[.]com“, o tai rodo, kad paketų gaudymo atakas įvykdė tas pats asmuo.
Šaltinis: opennet.ru