Непознати нападачи су преузели контролу над Питхон пакетом цтк и ПХП библиотеком пхпасс, након чега су објавили ажурирања са злонамерним уметком који је слао садржај варијабли окружења на екстерни сервер са очекивањем крађе токена АВС-у и системима континуиране интеграције. Према доступним статистикама, Питхон пакет 'цтк' се преузима из ПиПИ репозиторија око 22 хиљаде пута недељно. ПХП пакет пхпасс се дистрибуира преко складишта Цомпосер и до сада је преузет више од 2.5 милиона пута.
У цтк-у, злонамерни код је постављен 15. маја у издању 0.2.2, 26. маја у издању 0.2.6, а 21. маја је замењено старо издање 0.1.2, првобитно формирано 2014. године. Верује се да је приступ добијен као резултат компромитовања налога програмера.
Што се тиче ПХП пакета пхпасс, малициозни код је интегрисан кроз регистрацију новог ГитХуб спремишта са истим именом хаутелоок/пхпасс (власник оригиналног спремишта је обрисао свој хаутелоок налог, што је нападач искористио и регистровао нови налог са истим именом и постављено испод постоји пхпасс спремиште са злонамерним кодом). Пре пет дана, промена је додата у спремиште које шаље садржај променљивих окружења АВС_АЦЦЕСС_КЕИ и АВС_СЕЦРЕТ_КЕИ на спољни сервер.
Покушај смештања злонамерног пакета у складиште Цомпосер је брзо блокиран и компромитовани хаутелоок/пхпасс пакет је преусмерен на пакет бордони/пхпасс, чиме се наставља развој пројекта. У цтк и пхпасс, променљиве окружења су послате на исти сервер "анти-тхефт-веб.херокуапп[.]цом", што указује да је нападе хватањем пакета извршила иста особа.
Извор: опеннет.ру