Sulmuesit e panjohur fituan kontrollin e paketës Python ctx dhe phpass-it të bibliotekës PHP, pas së cilës ata postuan përditësime me një insert me qëllim të keq që dërgonte përmbajtjen e variablave të mjedisit në një server të jashtëm me pritjen e vjedhjes së argumenteve në AWS dhe sistemet e integrimit të vazhdueshëm. Sipas statistikave të disponueshme, paketa Python 'ctx' shkarkohet nga depoja e PyPI rreth 22 mijë herë në javë. Paketa PHP phpass shpërndahet përmes depove të Composer dhe është shkarkuar më shumë se 2.5 milionë herë deri më tani.
Në ctx, kodi me qëllim të keq u postua më 15 maj në versionin 0.2.2, më 26 maj në versionin 0.2.6 dhe më 21 maj, versioni i vjetër 0.1.2, i formuar fillimisht në 2014, u zëvendësua. Besohet se qasja është marrë si rezultat i komprometimit të llogarisë së zhvilluesit.
Sa i përket phpass-it të paketës PHP, kodi keqdashës u integrua përmes regjistrimit të një depoje të re GitHub me të njëjtin emër hautelook/phpass (pronari i depove origjinale fshiu llogarinë e tij hautelook, nga e cila sulmuesi përfitoi dhe regjistroi një llogari të re me të njëjtin emër dhe e postuar nën ka një depo phpass me kod me qëllim të keq). Pesë ditë më parë, një ndryshim u shtua në depo që dërgon përmbajtjen e variablave të mjedisit AWS_ACCESS_KEY dhe AWS_SECRET_KEY në serverin e jashtëm.
Një përpjekje për të vendosur një paketë me qëllim të keq në depon e Composer u bllokua shpejt dhe paketa e komprometuar hautelook/phpass u ridrejtua në paketën bordoni/phpass, e cila vazhdon zhvillimin e projektit. Në ctx dhe phpass, variablat e mjedisit u dërguan në të njëjtin server "anti-theft-web.herokuapp[.]com", duke treguar se sulmet e kapjes së paketave u kryen nga i njëjti person.
Burimi: opennet.ru