ผู้โจมตีที่ไม่รู้จักได้รับการควบคุมแพ็คเกจ Python ctx และ phpass ไลบรารี PHP หลังจากนั้นพวกเขาก็โพสต์การอัปเดตด้วยการแทรกที่เป็นอันตรายซึ่งส่งเนื้อหาของตัวแปรสภาพแวดล้อมไปยังเซิร์ฟเวอร์ภายนอกโดยคาดว่าจะขโมยโทเค็นไปยัง AWS และระบบบูรณาการอย่างต่อเนื่อง ตามสถิติที่มีอยู่ แพ็คเกจ Python 'ctx' ถูกดาวน์โหลดจากที่เก็บ PyPI ประมาณ 22 ครั้งต่อสัปดาห์ แพ็คเกจ phpass PHP ได้รับการเผยแพร่ผ่านพื้นที่เก็บข้อมูล Composer และมีการดาวน์โหลดมากกว่า 2.5 ล้านครั้งจนถึงขณะนี้
ใน ctx โค้ดที่เป็นอันตรายถูกโพสต์เมื่อวันที่ 15 พฤษภาคมในรุ่น 0.2.2, วันที่ 26 พฤษภาคมในรุ่น 0.2.6 และในวันที่ 21 พฤษภาคม 0.1.2 รุ่นเก่าซึ่งก่อตั้งขึ้นครั้งแรกในปี 2014 ได้ถูกแทนที่ เชื่อกันว่าได้รับการเข้าถึงอันเป็นผลมาจากบัญชีของนักพัฒนาถูกบุกรุก
สำหรับแพ็คเกจ PHP phpass โค้ดที่เป็นอันตรายถูกรวมเข้าด้วยกันผ่านการลงทะเบียนพื้นที่เก็บข้อมูล GitHub ใหม่ที่มีชื่อเดียวกัน hautelook/phpass (เจ้าของพื้นที่เก็บข้อมูลดั้งเดิมได้ลบบัญชี hautelook ของเขา ซึ่งผู้โจมตีใช้ประโยชน์จากและลงทะเบียนบัญชีใหม่ ที่มีชื่อเดียวกันและโพสต์ไว้ข้างใต้มีที่เก็บ phpass ที่มีโค้ดที่เป็นอันตราย) เมื่อห้าวันก่อน มีการเพิ่มการเปลี่ยนแปลงไปยังพื้นที่เก็บข้อมูลที่ส่งเนื้อหาของตัวแปรสภาพแวดล้อม AWS_ACCESS_KEY และ AWS_SECRET_KEY ไปยังเซิร์ฟเวอร์ภายนอก
ความพยายามในการวางแพ็คเกจที่เป็นอันตรายในพื้นที่เก็บข้อมูล Composer ถูกบล็อกอย่างรวดเร็ว และแพ็คเกจ hautelook/phpass ที่ถูกบุกรุกถูกเปลี่ยนเส้นทางไปยังแพ็คเกจ bordoni/phpass ซึ่งยังคงพัฒนาโครงการต่อไป ใน ctx และ phpass ตัวแปรสภาพแวดล้อมจะถูกส่งไปยังเซิร์ฟเวอร์เดียวกัน "anti-theft-web.herokuapp[.]com" ซึ่งบ่งชี้ว่าการโจมตีการจับแพ็คเก็ตดำเนินการโดยบุคคลคนเดียวกัน
ที่มา: opennet.ru