未知攻击者获得了 Python 包 ctx 和 PHP 库 phpass 的控制权,之后他们发布了包含恶意插入的更新,将环境变量的内容发送到外部服务器,期望窃取 AWS 和持续集成系统的令牌。 根据现有统计数据,Python 包“ctx”每周从 PyPI 存储库下载约 22 次。 phpass PHP 包通过 Composer 存储库分发,迄今为止下载量已超过 2.5 万次。
在ctx中,恶意代码于15月0.2.2日在26版本中发布,0.2.6月21日在0.1.2版本中发布,2014月XNUMX日,最初形成于XNUMX年的旧版本XNUMX被替换。 据信,访问权限是由于开发者帐户被盗而获得的。
至于PHP包phpass,恶意代码是通过注册一个新的同名hautelook/phpass的GitHub存储库来集成的(原存储库的所有者删除了他的hautelook帐户,攻击者利用该帐户并注册了一个新帐户)使用相同的名称并将其发布在带有恶意代码的 phpass 存储库下)。 五天前,存储库中添加了一项更改,将 AWS_ACCESS_KEY 和 AWS_SECRET_KEY 环境变量的内容发送到外部服务器。
将恶意软件包放入 Composer 存储库的尝试很快被阻止,受感染的 hautelook/phpass 软件包被重定向到 bordoni/phpass 软件包,从而继续该项目的开发。 ctx和phpass中,环境变量被发送到同一台服务器“anti-theft-web.herokuapp[.]com”,表明抓包攻击是由同一人进行的。
来源: opennet.ru