Nakuha ng mga hindi kilalang umaatake ang kontrol sa Python package ctx at PHP library phpass, pagkatapos nito ay nag-post sila ng mga update na may malisyosong insert na nagpadala ng mga nilalaman ng mga variable ng kapaligiran sa isang external na server na may inaasahang pagnanakaw ng mga token sa AWS at tuluy-tuloy na mga sistema ng pagsasama. Ayon sa magagamit na mga istatistika, ang Python package 'ctx' ay dina-download mula sa PyPI repository tungkol sa 22 libong beses sa isang linggo. Ang phpass PHP package ay ipinamahagi sa pamamagitan ng Composer repository at na-download nang higit sa 2.5 milyong beses sa ngayon.
Sa ctx, ang malisyosong code ay nai-post noong Mayo 15 sa release 0.2.2, noong Mayo 26 sa release 0.2.6, at noong Mayo 21 ang lumang release 0.1.2, na orihinal na nabuo noong 2014, ay pinalitan. Ito ay pinaniniwalaan na ang pag-access ay nakuha bilang isang resulta ng account ng developer na nakompromiso.
Tulad ng para sa PHP package phpass, isinama ang malisyosong code sa pamamagitan ng pagpaparehistro ng bagong GitHub repository na may parehong pangalan na hautelook/phpass (tinanggal ng may-ari ng orihinal na repositoryo ang kanyang hautelook account, na sinamantala ng umaatake at nagrehistro ng bagong account na may parehong pangalan at nai-post ito sa ilalim ng mayroong isang phpass repository na may malisyosong code). Limang araw ang nakalipas, isang pagbabago ang idinagdag sa repositoryo na nagpapadala ng mga nilalaman ng AWS_ACCESS_KEY at AWS_SECRET_KEY na mga variable ng kapaligiran sa panlabas na server.
Mabilis na na-block ang isang pagtatangkang maglagay ng malisyosong package sa repository ng Composer at ang nakompromisong hautelook/phpass package ay na-redirect sa bordoni/phpass package, na nagpapatuloy sa pagbuo ng proyekto. Sa ctx at phpass, ipinadala ang mga variable ng kapaligiran sa parehong server na "anti-theft-web.herokuapp[.]com", na nagpapahiwatig na ang mga pag-atake sa pagkuha ng packet ay ginawa ng parehong tao.
Pinagmulan: opennet.ru