May 25, 12:14

Очередная волна взломов библиотек пробежала по рынку. В этот раз пострадали пользователи небольшой библиотеки phpass для PHP и совсем старый пакет ctx для Python. В обоих случаях злоумышленники получили доступ к аккаунту разработчиков библиотеки и отправляли данные переменных окружения на удаленный сервер. А там часто чувствительные данные, например, ключи от AWS.

Вообще тема безопасности все важнее и важнее. Надеюсь, что большинство компаний уже начали поднимать зарплаты безопасникам.

www.bleepingcomputer.com/news/security/popular-python-and-php-libraries-hijacked-to-steal-aws-keys/

Popular Python and PHP libraries hijacked to steal AWS keys

PyPI module 'ctx' that gets downloaded over 20,000 times a week has been compromised in a software supply chain attack with malicious versions stealing the developer's environment variables. Additionally, versions of a 'phpass' fork published to the PHP/Composer package repository Packagist had been altered to steal secrets.