Datgelodd gweinyddwyr y storfa becynnau Packagist wybodaeth am ymosodiad a arweiniodd at reoli cyfrifon y 14 llyfrgell PHP cysylltiedig, gan gynnwys pecynnau poblogaidd fel instantiator (cyfanswm o 526 miliwn o osodiadau, 8 miliwn o osodiadau y mis, 323 o becynnau dibynnol), sql -formatter (cyfanswm o 94 miliwn o osodiadau, 800 mil y mis, 109 o becynnau dibynnol), bwndel athrawiaeth-cache (cyfanswm o 73 miliwn o osodiadau, 500 mil y mis, 348 o becynnau dibynnol) a rcode-detector-decoder (cyfanswm gosodiadau 20 miliwn, 400 mil y mis, 66 pecyn dibynnol).
Ar Γ΄l cyfaddawdu'r cyfrifon, addasodd yr ymosodwr y ffeil composer.json, gan ychwanegu gwybodaeth ym maes disgrifiad y prosiect ei fod yn chwilio am swydd yn ymwneud Γ’ diogelwch gwybodaeth. I wneud newidiadau i'r ffeil composer.json, disodlodd yr ymosodwr URLau'r ystorfeydd gwreiddiol gyda dolenni i ffyrc wedi'u haddasu (dim ond metadata y mae Packagist yn ei ddarparu gyda dolenni i brosiectau a ddatblygwyd ar GitHub; wrth osod gyda'r βgosod cyfansoddwrβ neu βdiweddariad cyfansoddwrβ gorchymyn, mae pecynnau'n cael eu lawrlwytho'n uniongyrchol o GitHub). Er enghraifft, ar gyfer y pecyn acmephp, newidiwyd yr ystorfa gysylltiedig o acmephp/acmephp i neskafe3v1/acmephp.
Yn Γ΄l pob tebyg, cynhaliwyd yr ymosodiad nid i gyflawni gweithredoedd maleisus, ond fel arddangosiad o annerbynioldeb agwedd ddiofal tuag at ddefnyddio tystlythyrau dyblyg ar wahanol safleoedd. Ar yr un pryd, ni wnaeth yr ymosodwr, yn groes i'r arfer sefydledig o βhacio moesegol,β hysbysu datblygwyr y llyfrgell a gweinyddwyr y storfa ymlaen llaw am yr arbrawf sy'n cael ei gynnal. Cyhoeddodd yr ymosodwr yn ddiweddarach, ar Γ΄l iddo lwyddo i gael y swydd, y byddai'n cyhoeddi adroddiad manwl ar y dulliau a ddefnyddiwyd yn yr ymosodiad.
Yn Γ΄l data a gyhoeddwyd gan weinyddwyr Pacagist, roedd pob cyfrif a oedd yn rheoli'r pecynnau dan fygythiad yn defnyddio cyfrineiriau hawdd eu dyfalu heb alluogi dilysu dau ffactor. Honnir bod y cyfrifon wedi'u hacio yn defnyddio cyfrineiriau a ddefnyddiwyd nid yn unig yn Packagist, ond hefyd mewn gwasanaethau eraill, yr oedd eu cronfeydd data cyfrinair wedi'u peryglu'n flaenorol ac a ddaeth ar gael i'r cyhoedd. Gallai cipio e-byst perchnogion cyfrifon a oedd yn gysylltiedig Γ’ pharthau sydd wedi dod i ben hefyd gael ei ddefnyddio fel opsiwn i gael mynediad.
Pecynnau dan fygythiad:
- acmephp/acmephp (124,860 o osodiadau dros oes gyfan y pecyn)
- acmephp/core (419,258)
- acmephp/ssl (531,692)
- bwndel athrawiaeth/athrawiaeth-cache-(73,490,057)
- athrawiaeth/modiwl athrawiaeth (5,516,721)
- athrawiaeth/athrawiaeth-mongo-odm-modiwl (516,441)
- athrawiaeth/athrawiaeth-modiwl-orm (5,103,306)
- athrawiaeth/cychwynnydd (526,809,061)
- llyfr twf/llyfr twf (97,568
- jdorn/file-system-cache (32,660)
- jdorn/fformatiwr sql (94,593,846)
- khamiryan/canfodydd cod-qr-datgodiwr (20,421,500)
- gwrthrych-calisthenics/phpcs-calisthenics-rules (2,196,380)
- tga/simhash-php, tgalopin/simhashphp (30,555)
Ffynhonnell: opennet.ru