የፓኬጅስት ፓኬጅ ማከማቻ አስተዳዳሪዎች የ14 ፒኤችፒ ቤተ-መጻሕፍት አስተዳዳሪዎችን ሒሳቦች የተቆጣጠረውን ጥቃት ዝርዝር ይፋ አድርገዋል።ይህም ታዋቂ ፓኬጆችን ጨምሮ እንደ ፈጣን (526 ሚሊዮን ጭነቶች በጠቅላላ፣ በወር 8 ሚሊዮን ጭነቶች፣ 323 ጥገኛ ፓኬጆች)፣ sql ፎርማተር (በአጠቃላይ 94M ጭነቶች፣ በወር 800 ኪ፣ 109 ጥገኛ ፓኬጆች)፣ ዶክትሪን-መሸጎጫ-ጥቅል (በአጠቃላይ 73M፣ በወር 500 ኪ፣ 348 ጥገኛ ፓኬጆች) እና rcode-detector-decoder (20M ጭነቶች በድምሩ፣ 400) ሺህ በወር, 66 ጥገኛ ፓኬጆች).
ሂሳቦቹ ከተበላሹ በኋላ አጥቂው የ composer.json ፋይልን አሻሽሏል, በፕሮጀክት መግለጫው መስክ ላይ መረጃውን ከመረጃ ደህንነት ጋር የተያያዘ ስራ እየፈለገ ነው. በ composer.json ፋይል ላይ ለውጥ ለማድረግ አጥቂው የመጀመሪያዎቹን ማከማቻዎች ዩአርኤሎች በተሻሻሉ ሹካዎች አገናኞች ተክቷል (Packagist በ GitHub ላይ ለተገነቡ ፕሮጀክቶች አገናኞች ያለው ሜታዳታ በ"አቀናባሪ ጫኝ" ወይም "አቀናባሪ ዝማኔ" ሲጭን ” ትእዛዝ፣ ጥቅሎቹ በቀጥታ ከ GitHub ይወርዳሉ። ለምሳሌ፣ ለ acmephp ጥቅል፣ የተገናኘው ማከማቻ ከ acmephp/acmephp ወደ neskafe3v1/acmephp ተቀይሯል።
በግልጽ ለማየት እንደሚቻለው ጥቃቱ የተፈፀመው ተንኮል አዘል ድርጊቶችን ለመፈፀም ሳይሆን በተለያዩ ድረ-ገጾች ላይ የተባዙ የምስክር ወረቀቶችን ለመጠቀም ጥንቃቄ የጎደለው አመለካከት ተቀባይነት እንደሌለው ማሳያ ነው። በተመሳሳይ ጊዜ፣ ከተመሰረተው የ‹‹ሥነ ምግባር ጠለፋ›› አሠራር በተቃራኒ አጥቂው ስለ ሙከራው አስቀድሞ የቤተ መፃህፍት ገንቢዎችን እና የማከማቻ አስተዳዳሪዎችን አላሳወቀም። በኋላ ላይ አጥቂው ሥራ ማግኘት ከቻለ በኋላ በጥቃቱ ውስጥ ስለተጠቀሙባቸው ዘዴዎች ዝርዝር ዘገባ እንደሚያወጣ ተናግሯል.
በፓኬጅስት አስተዳዳሪዎች የተለቀቀው መረጃ እንደሚያመለክተው፣ ሁሉም የተበላሹ ፓኬጆችን የሚያስተዳድሩ መለያዎች ባለ ሁለት ደረጃ ማረጋገጫን ሳያነቁ በቀላሉ በቀላሉ የሚደበደቡ የይለፍ ቃሎችን ተጠቅመዋል። የተጠለፉት አካውንቶች በፓኬጅስት ውስጥ ብቻ ሳይሆን የይለፍ ቃላቸው የውሂብ ጎታ ቀደም ሲል የተበላሹ እና ለህዝብ ይፋ በነበሩ አገልግሎቶች ላይ የሚገለገሉ የይለፍ ቃሎችን ተጠቅመዋል ተብሏል። ጊዜው ካለፈባቸው ጎራዎች ጋር የተሳሰሩ የመለያ ባለቤቶችን ኢሜይሎች ማንሳት እንዲሁ መዳረሻ ለማግኘት እንደ አማራጭ ሊያገለግል ይችላል።
የተጠለፉ ጥቅሎች፡-
- acmephp/acmephp (124,860 በጥቅሉ ዕድሜ ላይ ተጭኗል)
- acmephp/ኮር (419,258)
- acmephp/ssl (531,692)
- ዶክትሪን/ዶክትሪን-መሸጎጫ-ጥቅል (73,490,057)
- ዶክትሪን/ዶክትሪን-ሞዱል (5,516,721)
- ዶክትሪን/ዶክትሪን-ሞንጎ-ኦድም-ሞዱል (516,441)
- ዶክትሪን/ዶክትሪን-ኦርም-ሞዱል (5,103,306)
- አስተምህሮ/አጣማሪ (526,809,061)
- የእድገት መጽሐፍ/የዕድገት መጽሐፍ (97,568
- jdorn/ፋይል-ስርዓት-መሸጎጫ (32,660)
- jdorn/sql-formatter (94,593,846)
- ካናሚሪያን/qrcode-ፈላጊ-መግለጫ (20,421,500)
- object-calisthenics/phpcs-calisthenics-rules (2,196,380)
- tga/simhash-php፣ tgalopin/simhashphp (30,555)
ምንጭ: opennet.ru