Noma'lum buzg'unchilar Python ctx paketi va PHP kutubxonasi phpass ustidan nazoratni qo'lga kiritdilar, shundan so'ng ular AWS va uzluksiz integratsiya tizimlariga tokenlarni o'g'irlashni kutish bilan tashqi serverga atrof-muhit o'zgaruvchilari tarkibini yuboradigan zararli qo'shimcha bilan yangilanishlarni joylashtirdilar. Mavjud statistik ma'lumotlarga ko'ra, Python "ctx" to'plami PyPI omboridan haftasiga taxminan 22 ming marta yuklab olinadi. Phpass PHP paketi Composer ombori orqali tarqatiladi va hozirgacha 2.5 million martadan ortiq yuklab olingan.
ctx-da zararli kod 15-mayda 0.2.2-versiyasida, 26-mayda 0.2.6-versiyasida joylashtirilgan va 21-mayda dastlab 0.1.2-yilda yaratilgan eski 2014 relizlar almashtirilgan. Taxminlarga ko'ra, kirish huquqi ishlab chiquvchining akkaunti buzilgani natijasida olingan.
PHP phpass paketiga kelsak, zararli kod hautelook/phpass nomli yangi GitHub omborini ro‘yxatdan o‘tkazish orqali birlashtirildi (asl ombor egasi o‘zining hautelook akkauntini o‘chirib tashladi, tajovuzkor undan foydalangan va yangi hisob qaydnomasini ro‘yxatdan o‘tkazgan. xuddi shu nom bilan va uni zararli kodli phpass ombori ostida joylashtirgan). Besh kun oldin, AWS_ACCESS_KEY va AWS_SECRET_KEY muhit oʻzgaruvchilari tarkibini tashqi serverga yuboruvchi omborga oʻzgartirish kiritildi.
Zararli paketni Composer omboriga joylashtirishga urinish tezda bloklandi va buzilgan hautelook/phpass paketi loyihani rivojlantirishni davom ettiruvchi bordoni/phpass paketiga yo‘naltirildi. Ctx va phpassda atrof-muhit o'zgaruvchilari bir xil serverga "anti-theft-web.herokuapp[.]com"ga yuborildi, bu paketlarni qo'lga kiritish hujumlari bir shaxs tomonidan amalga oshirilganligini ko'rsatadi.
Manba: opennet.ru