未知攻擊者獲得了 Python 套件 ctx 和 PHP 庫 phpass 的控制權,之後他們發布了包含惡意插入的更新,將環境變數的內容傳送到外部伺服器,期望竊取 AWS 和持續整合系統的令牌。 根據現有統計數據,Python 套件「ctx」每週從 PyPI 儲存庫下載約 22 次。 phpass PHP 套件透過 Composer 儲存庫分發,迄今為止下載量已超過 2.5 萬次。
在ctx中,惡意程式碼於15月0.2.2日在26版本中發布,0.2.6月21日在0.1.2版本中發布,2014月XNUMX日,最初形成於XNUMX年的舊版本XNUMX被替換。 據信,存取權限是由於開發者帳戶被盜而獲得的。
至於PHP套件phpass,惡意程式碼是透過註冊一個新的同名hautelook/phpass的GitHub儲存庫來整合的(原始儲存庫的擁有者刪除了他的hautelook帳戶,攻擊者利用該帳戶並註冊了一個新帳戶)使用相同的名稱並將其發佈在帶有惡意程式碼的phpass 儲存庫下)。 五天前,儲存庫中新增了一項更改,將 AWS_ACCESS_KEY 和 AWS_SECRET_KEY 環境變數的內容傳送到外部伺服器。
將惡意軟體包放入 Composer 儲存庫的嘗試很快就被阻止,受感染的 hautelook/phpass 軟體包被重定向到 bordoni/phpass 軟體包,從而繼續該專案的開發。 在ctx和phpass中,環境變數被發送到同一台伺服器“anti-theft-web.herokuapp[.]com”,表明抓包攻擊是由同一人進行的。
來源: opennet.ru