Bilinmeyen saldırganlar Python paketi ctx'in ve PHP kütüphanesi phpass'ın kontrolünü ele geçirdiler ve ardından AWS'ye ve sürekli entegrasyon sistemlerine token çalma beklentisiyle ortam değişkenlerinin içeriğini harici bir sunucuya gönderen kötü amaçlı bir eklenti içeren güncellemeler yayınladılar. Mevcut istatistiklere göre Python paketi 'ctx' PyPI deposundan haftada yaklaşık 22 bin kez indiriliyor. Phpass PHP paketi Composer deposu aracılığıyla dağıtılmaktadır ve şu ana kadar 2.5 milyondan fazla indirilmiştir.
CTX'te kötü amaçlı kod, 15 Mayıs'ta 0.2.2 sürümünde, 26 Mayıs'ta 0.2.6 sürümünde yayınlandı ve 21 Mayıs'ta, orijinal olarak 0.1.2'te oluşturulan eski sürüm 2014 değiştirildi. Erişimin, geliştiricinin hesabının ele geçirilmesi sonucunda elde edildiğine inanılıyor.
PHP paketi phpass'a gelince, kötü amaçlı kod, hautelook/phpass ile aynı adı taşıyan yeni bir GitHub deposunun kaydedilmesi yoluyla entegre edildi (orijinal havuzun sahibi, saldırganın yararlandığı ve yeni bir hesap kaydettiği hautelook hesabını sildi) aynı isimde ve altında yayınlanmış, kötü amaçlı kod içeren bir phpass deposu var). Beş gün önce, depoya AWS_ACCESS_KEY ve AWS_SECRET_KEY ortam değişkenlerinin içeriğini harici sunucuya gönderen bir değişiklik eklendi.
Composer deposuna kötü amaçlı bir paket yerleştirme girişimi hızla engellendi ve ele geçirilen hautelook/phpass paketi, projenin geliştirilmesine devam eden bordoni/phpass paketine yönlendirildi. Ctx ve phpass'ta ortam değişkenleri aynı "anti-theft-web.herokuapp[.]com" sunucusuna gönderiliyordu, bu da paket yakalama saldırılarının aynı kişi tarafından gerçekleştirildiğini gösteriyordu.
Kaynak: opennet.ru