Những kẻ tấn công không xác định đã giành được quyền kiểm soát gói Python ctx và thư viện PHP phpass, sau đó chúng đăng các bản cập nhật có phần chèn độc hại gửi nội dung của các biến môi trường đến máy chủ bên ngoài với mục đích đánh cắp mã thông báo đến AWS và các hệ thống tích hợp liên tục. Theo số liệu thống kê hiện có, gói Python 'ctx' được tải xuống từ kho lưu trữ PyPI khoảng 22 nghìn lần một tuần. Gói phppass PHP được phân phối thông qua kho Composer và cho đến nay đã được tải xuống hơn 2.5 triệu lần.
Trong ctx, mã độc được đăng vào ngày 15 tháng 0.2.2 trong bản phát hành 26, vào ngày 0.2.6 tháng 21 trong bản phát hành 0.1.2 và vào ngày 2014 tháng XNUMX, bản phát hành cũ XNUMX, ban đầu được hình thành vào năm XNUMX, đã được thay thế. Người ta tin rằng quyền truy cập có được là do tài khoản của nhà phát triển bị xâm phạm.
Riêng với gói PHP phppass, mã độc được tích hợp thông qua việc đăng ký kho GitHub mới có cùng tên hautelook/phpass (chủ kho gốc đã xóa tài khoản hautelook của mình, kẻ tấn công đã lợi dụng và đăng ký tài khoản mới). cùng tên và đăng ở dưới có kho phpass chứa mã độc). Năm ngày trước, một thay đổi đã được thêm vào kho lưu trữ nhằm gửi nội dung của các biến môi trường AWS_ACCESS_KEY và AWS_SECRET_KEY đến máy chủ bên ngoài.
Nỗ lực đặt gói độc hại vào kho Composer đã nhanh chóng bị chặn và gói hautelook/phpass bị xâm nhập đã được chuyển hướng đến gói bordoni/phpass, gói này sẽ tiếp tục phát triển dự án. Trong ctx và phpass, các biến môi trường được gửi đến cùng một máy chủ "anti-theft-web.herokuapp[.]com", cho thấy rằng các cuộc tấn công bắt gói được thực hiện bởi cùng một người.
Nguồn: opennet.ru