Ukjente angripere fikk kontroll over Python-pakken ctx og PHP-biblioteket phpass, hvoretter de la ut oppdateringer med et ondsinnet innlegg som sendte innholdet i miljøvariabler til en ekstern server med forventning om å stjele tokens til AWS og kontinuerlige integrasjonssystemer. I følge tilgjengelig statistikk lastes Python-pakken 'ctx' ned fra PyPI-depotet omtrent 22 tusen ganger i uken. Phpass PHP-pakken distribueres gjennom Composer-depotet og har blitt lastet ned mer enn 2.5 millioner ganger så langt.
I ctx ble den ondsinnede koden lagt ut 15. mai i versjon 0.2.2, 26. mai i versjon 0.2.6, og 21. mai ble den gamle versjonen 0.1.2, opprinnelig dannet i 2014, erstattet. Det antas at tilgang ble oppnådd som følge av at utviklerens konto ble kompromittert.
Når det gjelder PHP-pakken phpass, ble den skadelige koden integrert gjennom registreringen av et nytt GitHub-depot med samme navn hautelook/phpass (eieren av det originale depotet slettet hautelook-kontoen sin, som angriperen utnyttet og registrerte en ny konto med samme navn og postet det under det er et phpass-lager med ondsinnet kode). For fem dager siden ble det lagt til en endring i depotet som sender innholdet i miljøvariablene AWS_ACCESS_KEY og AWS_SECRET_KEY til den eksterne serveren.
Et forsøk på å plassere en ondsinnet pakke i Composer-depotet ble raskt blokkert og den kompromitterte hautelook/phpass-pakken ble omdirigert til bordoni/phpass-pakken, som fortsetter utviklingen av prosjektet. I ctx og phpass ble miljøvariabler sendt til samme server "anti-theft-web.herokuapp[.]com", noe som indikerer at pakkefangst-angrepene ble utført av samme person.
Kilde: opennet.ru