26/05/22
Инцидент был расследован Sonatype , SANS Institute и независимым исследователем . Атаке подверглись две библиотеки, но только одна из них могла нанести серьезный ущерб. Ctx имела 22 000 загрузок в неделю и была взломана 14 мая. Последнее обновление для библиотеки было загружено на Python Package Index (PyPI) в декабре 2014 года.
Получив контроль над библиотекой, злоумышленники загрузили свои версии – 0.1.2 (последнюю версию оригинала), 0.2.2 и 0.2.6, включающие в себя функционал для кражи и передачи данных на серверы хакеров.
Одна из версий была нацелена на получение идентификатора ключа доступа AWS, имени компьютера и секретного ключа доступа AWS при создании словаря. Другая вредоносная версия ctx пыталась получить все переменные среды жертвы.
Второй скомпрометированной библиотекой стала PHPass – портативная PHP-система для хеширования паролей. Оригинальная PHPass была удалена в сентябре 2021 года вместе с учетной записью разработчика, но злоумышленники смогли восстановить доступ к проекту на GitHub.
На данный момент обе взломанные библиотеки удалены. Специалисты рекомендуют разработчикам проверить версии недавно загруженных пакетов ctx и PHPass и в случае обнаружения вредоносной версии немедленно удалить ее с устройства.
