Onbekende aanvallers kregen de controle over het Python-pakket ctx en de PHP-bibliotheek phpass, waarna ze updates plaatsten met een kwaadaardige insert die de inhoud van omgevingsvariabelen naar een externe server stuurde in de verwachting tokens te stelen voor AWS en continue integratiesystemen. Volgens de beschikbare statistieken wordt het Python-pakket 'ctx' ongeveer 22 keer per week gedownload uit de PyPI-repository. Het phpass PHP-pakket wordt gedistribueerd via de Composer-repository en is tot nu toe meer dan 2.5 miljoen keer gedownload.
In ctx werd de kwaadaardige code op 15 mei gepost in release 0.2.2, op 26 mei in release 0.2.6, en op 21 mei werd de oude release 0.1.2, oorspronkelijk uitgebracht in 2014, vervangen. Er wordt aangenomen dat toegang is verkregen doordat het account van de ontwikkelaar is gecompromitteerd.
Wat het PHP-pakket phpass betreft, werd de kwaadaardige code geΓ―ntegreerd door de registratie van een nieuwe GitHub-repository met dezelfde naam hautelook/phpass (de eigenaar van de oorspronkelijke repository verwijderde zijn hautelook-account, waar de aanvaller misbruik van maakte en een nieuw account registreerde met dezelfde naam en plaatste het onder een phpass-repository met kwaadaardige code). Vijf dagen geleden is er een wijziging toegevoegd aan de repository die de inhoud van de AWS_ACCESS_KEY en AWS_SECRET_KEY omgevingsvariabelen naar de externe server stuurt.
Een poging om een ββkwaadaardig pakket in de Composer-repository te plaatsen werd snel geblokkeerd en het gecompromitteerde hautelook/phpass-pakket werd omgeleid naar het bordoni/phpass-pakket, dat de ontwikkeling van het project voortzet. In ctx en phpass werden omgevingsvariabelen naar dezelfde server "anti-theft-web.herokuapp[.]com" gestuurd, wat aangeeft dat de packet capture-aanvallen door dezelfde persoon waren uitgevoerd.
Bron: opennet.ru