S’han descobert dos paquets troians de Python i PHP en el que és una altra instància d’un atac a la cadena de subministrament de programari dirigit a l’ecosistema de codi obert.

Un dels paquets en qüestió és “ctx“, un mòdul de Python disponible en el repositori de PyPi. L’altre implica “phpass“, un paquet de PHP que s’ha bifurcat en GitHub per a distribuir una actualització no autoritzada.

Val la pena assenyalar que ctx es va publicar per última vegada en PyPi el 19 de desembre de 2014. D’altra banda, phpass no ha rebut una actualització des que es va carregar en Packagist el 31 d’agost de 2012.

El paquet maliciós de Python, que es va enviar a PyPi el 21 de maig de 2022, es va eliminar del repositori, però la biblioteca de PHP continua estant disponible en GitHub.

En tots dos casos, les modificacions estan dissenyades per a filtrar les credencials d’AWS a un URL de Heroku denominada ‘anti-theft-web.herokuapp[.]com’. “Sembla que el perpetrador està tractant d’obtenir totes les variables d’entorn, codificar-les en Base64 i remetre les dades a una aplicació web sota el control del perpetrador”, va dir Ching.

Es sospita que l’atacant va aconseguir accés no autoritzat al compte del mantenidor per a publicar la nova versió de ctx. Una recerca addicional ha revelat que l’actor d’amenaces va registrar el domini vençut utilitzat pel mantenidor original el 14 de maig de 2022.