Nieznani napastnicy przejęli kontrolę nad pakietem Pythona ctx i biblioteką PHP phpass, po czym opublikowali aktualizacje zawierające złośliwą wstawkę, która wysyłała zawartość zmiennych środowiskowych na serwer zewnętrzny w oczekiwaniu na kradzież tokenów do AWS i systemów ciągłej integracji. Według dostępnych statystyk pakiet Pythona „ctx” jest pobierany z repozytorium PyPI około 22 tysięcy razy w tygodniu. Pakiet phpass PHP jest dystrybuowany za pośrednictwem repozytorium Composer i do tej pory został pobrany ponad 2.5 miliona razy.
W ctx złośliwy kod został opublikowany 15 maja w wersji 0.2.2, 26 maja w wersji 0.2.6, a 21 maja stare wydanie 0.1.2, pierwotnie utworzone w 2014 roku, zostało zastąpione. Uważa się, że dostęp uzyskano w wyniku naruszenia bezpieczeństwa konta programisty.
Jeśli chodzi o pakiet PHP phpass, złośliwy kod został zintegrowany poprzez rejestrację nowego repozytorium GitHub o tej samej nazwie hautelook/phpass (właściciel oryginalnego repozytorium usunął swoje konto hautelook, z którego atakujący skorzystał i zarejestrował nowe konto o tej samej nazwie i zamieściłem go tam, gdzie znajduje się repozytorium phpass ze złośliwym kodem). Pięć dni temu do repozytorium została dodana zmiana wysyłająca zawartość zmiennych środowiskowych AWS_ACCESS_KEY i AWS_SECRET_KEY na serwer zewnętrzny.
Próba umieszczenia szkodliwego pakietu w repozytorium Composer została szybko zablokowana, a zaatakowany pakiet hautelook/phpass został przekierowany do pakietu bordoni/phpass, który kontynuuje rozwój projektu. W przypadku ctx i phpass zmienne środowiskowe zostały wysłane do tego samego serwera „anti-theft-web.herokuapp[.]com”, co wskazuje, że ataki polegające na przechwytywaniu pakietów przeprowadziła ta sama osoba.
Źródło: opennet.ru