Скомпрометированы два популярных пакета с открытым исходным кодом: Python-пакет ctx и PHP-библиотека phpass. По некоторым данным в результате атаки может пострадать около 3 млн пользователей.
Эксперты по кибербезопасности обнаружили новый взлом цепочки поставок ПО, с помощью которого злоумышленники пытаются украсть учётные данные облачного сервиса AWS.
Python-пакет ctx, который загружается из репозитория PyPI около 22 тысяч раз в неделю , был скомпрометирован в результате атаки на цепочку поставок ПО. «ctx» — это модуль Python, который позволяет разработчикам манипулировать своими объектами словаря («dict») различными способами. Пакет, хотя и популярный, не изменялся его разработчиком с 2014 года.
Но более новые версии от 15 мая (это 0.2.2, 0.2.6 и выше), содержат вредоносный код, который, отправляет все переменные среды пользователя, в приложение heroku https://anti-theft-web.herokuapp[.]com/hacked/ . Следует отметить, что версия ctx 0.1.2 была заменена в реестре PyPI 21 мая 2022 года и тоже получила вредоносную полезную нагрузку:
Есть предположение, что библиотека была скомпрометирована после истечения срока действия доменного имени разработчика, и злоумышленник перерегистрировал его на себя, что позволило ему завладеть исходной библиотекой. Всё это стало возможным после банального сброса пароля.
Кроме того, версии форка «phpass», опубликованные в репозитории пакетов PHP/Composer Packagist, были изменены для кражи секретов аналогичным образом. Предполагается, что то вредоносный код был интегрирован путём регистрации нового GitHub-репозитория таким же именем hautelook/phpass. Это стало возможным, так как владелец оригинального репозитория удалил свою учётную запись hautelook. Злоумышленник зарегистрировал новую учётную запись с тем же именем и разместил под ней репозиторий phpass с вредоносным кодом.
Репозиторий phpass на GitHub показывает коммиты пятидневной давности, которые содержат тот же URL-адрес, что и в скомпрометированных версиях ctx, что указывает на то, что атаки связаны.
Пакет phpass распространяется через репозиторий Composer и за всё время был скачан 2,5 млн раз. К счастью, атака была быстро заблокирована, а скомпрометированный пакет hautelook/phpass перенаправили на bordoni/phpass, продолжающий развитие проекта.
