L'amministratori di u repositariu di u pacchettu Packagist anu divulgatu infurmazioni nantu à un attaccu chì hà risultatu in u cuntrollu di i cunti di e librerie PHP 14 accumpagnate, cumprese pacchetti populari cum'è instantiator (526 milioni di installazioni in totale, 8 milioni di installazioni per mese, 323 pacchetti dipendenti), sql. -formatter (94 milioni di installazioni totali, 800 mila per mese, 109 pacchetti dipendenti), doctrine-cache-bundle (73 milioni di installazioni totali, 500 mila per mese, 348 pacchetti dipendenti) è rcode-detector-decoder (20 milioni di installazioni totali, 400 mila per mese, 66 pacchetti dipendenti).
Dopu avè cumprumissu i cunti, l'attaccante hà mudificatu u schedariu composer.json, aghjunghjendu infurmazione in u campu di descrizzione di u prughjettu chì cercava un travagliu in relazione à a sicurità di l'infurmazioni. Per fà cambiamenti à u schedariu composer.json, l'attaccante hà rimpiazzatu l'URL di i repositori originali cù ligami à forche modificate (Packagist furnisce solu metadati cù ligami à i prughjetti sviluppati in GitHub; quandu si stallanu cù l'"installazione di u cumpusitore" o "aghjurnamentu di u cumpusitore". cumanda, i pacchetti sò scaricati direttamente da GitHub). Per esempiu, per u pacchettu acmephp, u repositoriu ligatu hè statu cambiatu da acmephp/acmephp à neskafe3v1/acmephp.
Apparentemente, l'attaccu hè statu realizatu micca per cummettà azzioni maliziusi, ma cum'è una dimostrazione di l'inadmissibilità di una attitudine trascurata versu l'usu di credenziali duplicate in siti diversi. À u stessu tempu, l'attaccante, contru à a pratica stabilita di "pirate etiche", ùn hà micca avvisatu à i sviluppatori di a biblioteca è l'amministratori di u repository in anticipu annantu à l'esperimentu chì era realizatu. L'attaccante hà annunziatu dopu chì dopu avè riesciutu à ottene u travagliu, pubblicà un rapportu detallatu nantu à i metudi utilizati in l'attaccu.
Sicondu i dati publicati da l'amministratori di Packagist, tutti i cunti chì gestionanu i pacchetti cumprumessi anu utilizatu password facili da indovinà senza attivà l'autentificazione à dui fattori. Hè affirmatu chì i cunti pirate anu utilizatu password chì sò stati utilizati micca solu in Packagist, ma ancu in altri servizii, a basa di dati di password di quale era previamente cumprumessa è diventata publicamente. A catturà l'e-mail di i pruprietarii di cunti chì eranu ligati à i domini scaduti puderia ancu esse usatu cum'è una opzione per acquistà l'accessu.
Pacchetti cumprumessi:
- acmephp/acmephp (124,860 installazioni per tutta a vita di u pacchettu)
- acmephp/core (419,258)
- acmephp/ssl (531,692)
- doctrine/doctrine-cache-bundle (73,490,057)
- duttrina/duttrina-modulu (5,516,721)
- doctrine/doctrine-mongo-odm-module (516,441)
- doctrine/doctrine-orm-module (5,103,306)
- duttrina/instantiator (526,809,061)
- livre de croissance/carte de croissance (97,568 XNUMX
- jdorn/file-system-cache (32,660)
- jdorn/sql-formatter (94,593,846)
- khanamiryan/qrcode-detector-decoder (20,421,500)
- object-calisthenics/phpcs-calisthenics-rules (2,196,380)
- tga/simhash-php, tgalopin/simhashphp (30,555)
Source: opennet.ru
