Administrateurs van die Packagist-pakketbewaarplek het inligting bekend gemaak oor 'n aanval wat gelei het tot beheer van die rekeninge van die gepaardgaande 14 PHP-biblioteke, insluitend sulke gewilde pakkette soos instantiator (526 miljoen installasies in totaal, 8 miljoen installasies per maand, 323 afhanklike pakkette), sql -formatter (94 miljoen totale installasies, 800 duisend per maand, 109 afhanklike pakkette), doctrine-cache-bundel (73 miljoen totale installasies, 500 duisend per maand, 348 afhanklike pakkette) en rcode-detector-dekodeerder (20 miljoen totale installasies, 400 duisend per maand, 66 afhanklike pakkette).
Nadat die rekeninge gekompromitteer is, het die aanvaller die composer.json-lêer gewysig en inligting in die projekbeskrywingsveld bygevoeg dat hy op soek was na 'n werk wat met inligtingsekuriteit verband hou. Om veranderinge aan die composer.json-lêer aan te bring, het die aanvaller die URL's van die oorspronklike bewaarplekke vervang met skakels na gewysigde vurke (Packagist verskaf slegs metadata met skakels na projekte wat op GitHub ontwikkel is; wanneer dit geïnstalleer word met die "composer install" of "composer update" opdrag, pakkette word direk vanaf GitHub afgelaai). Byvoorbeeld, vir die acmephp-pakket is die gekoppelde bewaarplek verander van acmephp/acmephp na neskafe3v1/acmephp.
Blykbaar is die aanval nie uitgevoer om kwaadwillige optrede te pleeg nie, maar as 'n demonstrasie van die ontoelaatbaarheid van 'n sorgelose houding teenoor die gebruik van duplikaatbewyse op verskillende terreine. Terselfdertyd het die aanvaller, in teenstelling met die gevestigde praktyk van "etiese inbraak," nie die biblioteekontwikkelaars en bewaarplekadministrateurs vooraf in kennis gestel van die eksperiment wat uitgevoer word nie. Die aanvaller het later aangekondig dat hy, nadat hy daarin geslaag het om die pos te kry, 'n gedetailleerde verslag sal publiseer oor die metodes wat in die aanval gebruik is.
Volgens data wat deur Packagist-administrateurs gepubliseer is, het alle rekeninge wat die gekompromitteerde pakkette bestuur het maklike wagwoorde gebruik sonder om tweefaktor-verifikasie te aktiveer. Daar word beweer dat die gekapte rekeninge wagwoorde gebruik het wat nie net in Packagist gebruik is nie, maar ook in ander dienste, waarvan die wagwoorddatabasisse voorheen gekompromitteer is en publiek beskikbaar geword het. Die vaslegging van die e-posse van rekeningeienaars wat aan verstrykde domeine gekoppel is, kan ook as 'n opsie gebruik word om toegang te verkry.
Gekompromitteerde pakkette:
- acmephp/acmephp (124,860 XNUMX installasies vir die hele lewe van die pakket)
- acmephp/core (419,258 XNUMX)
- acmephp/ssl (531,692 XNUMX)
- doctrine/doctrine-cache-bundel (73,490,057 XNUMX XNUMX)
- doctrine/doctrine-module (5,516,721 XNUMX XNUMX)
- doctrine/doctrine-mongo-odm-module (516,441 XNUMX)
- doctrine/doctrine-orm-module (5,103,306 XNUMX XNUMX)
- leerstelling/instantieerder (526,809,061 XNUMX XNUMX)
- groeiboek/groeiboek (97,568 XNUMX
- jdorn/lêerstelsel-kas (32,660 XNUMX)
- jdorn/sql-formatter (94,593,846 XNUMX XNUMX)
- khanamiryan/qrcode-detector-dekodeerder (20,421,500 XNUMX XNUMX)
- object-calisthenics/phpcs-calisthenics-reëls (2,196,380 XNUMX XNUMX)
- tga/simhash-php, tgalopin/simhashphp (30,555 XNUMX)
Bron: opennet.ru