Atacantes desconhecidos obtiveram o controle do pacote Python ctx e da biblioteca PHP phpass, após o que postaram atualizações com uma inserção maliciosa que enviava o conteúdo das variáveis de ambiente para um servidor externo com a expectativa de roubar tokens para AWS e sistemas de integração contínua. De acordo com as estatísticas disponíveis, o pacote Python ‘ctx’ é baixado do repositório PyPI cerca de 22 mil vezes por semana. O pacote phpass PHP é distribuído através do repositório Composer e foi baixado mais de 2.5 milhões de vezes até agora.
No ctx, o código malicioso foi postado em 15 de maio na versão 0.2.2, em 26 de maio na versão 0.2.6 e em 21 de maio a antiga versão 0.1.2, originalmente formada em 2014, foi substituída. Acredita-se que o acesso foi obtido em decorrência do comprometimento da conta do desenvolvedor.
Quanto ao pacote PHP phpass, o código malicioso foi integrado através do registo de um novo repositório GitHub com o mesmo nome hautelook/phpass (o proprietário do repositório original apagou a sua conta hautelook, da qual o atacante aproveitou e registou uma nova conta com o mesmo nome e postei lá embaixo, há um repositório phpass com código malicioso). Há cinco dias, foi adicionada uma alteração ao repositório que envia o conteúdo das variáveis de ambiente AWS_ACCESS_KEY e AWS_SECRET_KEY para o servidor externo.
Uma tentativa de colocar um pacote malicioso no repositório do Composer foi rapidamente bloqueada e o pacote hautelook/phpass comprometido foi redirecionado para o pacote bordoni/phpass, que continua o desenvolvimento do projeto. No ctx e no phpass, as variáveis de ambiente foram enviadas para o mesmo servidor “anti-theft-web.herokuapp[.]com”, indicando que os ataques de captura de pacotes foram realizados pela mesma pessoa.
Fonte: opennet.ru