Okända angripare fick kontroll över Python-paketet ctx och PHP-biblioteket phpass, varefter de postade uppdateringar med en skadlig infogning som skickade innehållet i miljövariabler till en extern server med förväntan att stjäla tokens till AWS och kontinuerliga integrationssystem. Enligt tillgänglig statistik laddas Python-paketet 'ctx' ner från PyPI-förvaret cirka 22 tusen gånger i veckan. PHP-paketet phpass distribueras genom Composer-förvaret och har laddats ner mer än 2.5 miljoner gånger hittills.
I ctx publicerades den skadliga koden den 15 maj i release 0.2.2, den 26 maj i release 0.2.6 och den 21 maj ersattes den gamla versionen 0.1.2, som ursprungligen bildades 2014. Man tror att åtkomst erhölls som ett resultat av att utvecklarens konto utsatts för intrång.
När det gäller PHP-paketet phpass, integrerades den skadliga koden genom registreringen av ett nytt GitHub-förråd med samma namn hautelook/phpass (ägaren av det ursprungliga förvaret tog bort sitt hautelook-konto, vilket angriparen utnyttjade och registrerade ett nytt konto med samma namn och postat det under det finns ett phpass-förråd med skadlig kod). För fem dagar sedan lades en ändring till i arkivet som skickar innehållet i miljövariablerna AWS_ACCESS_KEY och AWS_SECRET_KEY till den externa servern.
Ett försök att placera ett skadligt paket i Composer-förvaret blockerades snabbt och det komprometterade hautelook/phpass-paketet omdirigerades till bordoni/phpass-paketet, som fortsätter utvecklingen av projektet. I ctx och phpass skickades miljövariabler till samma server "anti-theft-web.herokuapp[.]com", vilket indikerar att paketinfångningsattackerna utfördes av samma person.
Källa: opennet.ru