Невідомі зловмисники отримали контроль над Python-пакетом ctx та PHP-бібліотекою phpass, після чого розмістили оновлення зі шкідливою вставкою, яка відправляла на зовнішній сервер вміст змінних оточення з розрахунком на крадіжку токенів до AWS та систем безперервної інтеграції. За статистикою Python-пакет 'ctx' завантажується з репозиторію PyPI близько 22 тисяч разів на тиждень. PHP-пакет phpass поширюється через репозиторій Composer і за весь час був завантажений понад 2.5 млн. разів.
У ctx шкідливий код було розміщено 15 травня у випуску 0.2.2, 26 травня у випуску 0.2.6, а також 21 травня було підмінено старий реліз 0.1.2, спочатку сформований у 2014 році. Передбачається, що доступ отримано в результаті компрометації облікового запису розробника.
Що стосується PHP-пакету phpass, то шкідливий код був інтегрований через реєстрацію нового GitHub-репозиторію з тим же ім'ям hautelook/phpass (власник оригінального репозиторію видалив свій обліковий запис hautelook, чим скористався зловмисник і зареєстрував новий обліковий запис з тем ній репозиторій phpass з шкідливим кодом). П'ять днів тому до репозиторію було додано зміну, яка надсилає на зовнішній сервер вміст змінних оточення AWS_ACCESS_KEY та AWS_SECRET_KEY.
Спробу розміщення шкідливого пакету в репозиторії Composer було оперативно заблоковано і скомпрометований пакет hautelook/phpass був перенаправлений на пакет bordoni/phpass, що продовжує розвиток проекту. У ctx і phpass змінні оточення відправлялися на той самий сервер «anti-theft-web.herokuapp[.]com», що свідчить про те, що атаки по захопленню пакетів були проведені однією особою.
Джерело: opennet.ru