人気のあるPyPIパッケージ「ctx」とPHPライブラリ「phpass」がハイジャックされてAWSキーを盗む from thehackernews.com

もう1つは、不正な更新を配布するためにGitHubでフォークされたPHPパッケージを「phpass」することです。
攻撃者がメンテナのアカウントに不正アクセスして、新しいctxバージョンを公開した疑いがあります。
さらなる調査により、攻撃者は2022年5月14日に元のメンテナが使用した期限切れのドメインを登録したことが明らかになりました。
元のctx0.1.2パッケージと「新しい」ctx0.1.2パッケージで実行されたLinuxdiffコマンド
さらに、昨年マイクロソフトとノースカロライナ州立大学の学者によって実施された163万のJavaScript NPMパッケージのメタデータ分析により、期限切れのドメインに関連付けられた2818のメンテナの電子メールアドレスが明らかになり、攻撃者がNPMアカウントを乗っ取って8494パッケージをハイジャックできるようになりました。
「パッケージソースの所有者-‘hautelook’がアカウントを削除し、攻撃者がユーザー名を主張したため、phpassの侵害が発生したようです」独立した研究者のSomdev Sangwanは一連のツイートで、いわゆるリポジトリハイジャック攻撃について詳しく述べています。