Administratorer af Packagist-pakkelageret afslørede information om et angreb, der resulterede i kontrol over konti for de medfølgende 14 PHP-biblioteker, inklusive så populære pakker som instantiator (526 millioner installationer i alt, 8 millioner installationer pr. måned, 323 afhængige pakker), sql -formatter (94 millioner samlede installationer, 800 tusinde pr. måned, 109 afhængige pakker), doctrine-cache-bundle (73 millioner samlede installationer, 500 tusinde pr. måned, 348 afhængige pakker) og rcode-detector-decoder (20 millioner samlede installationer, 400 tusind om måneden, 66 afhængige pakker).
Efter at have kompromitteret regnskabet ændrede angriberen filen composer.json og tilføjede oplysninger i projektbeskrivelsesfeltet om, at han søgte et job relateret til informationssikkerhed. For at foretage ændringer i filen composer.json erstattede angriberen URL'erne på de originale repositories med links til modificerede gafler (Packagist leverer kun metadata med links til projekter udviklet på GitHub; ved installation med "komponistinstallation" eller "komponistopdatering" kommando, pakker downloades direkte fra GitHub ). For eksempel, for acmephp-pakken, blev det linkede lager ændret fra acmephp/acmephp til neskafe3v1/acmephp.
Tilsyneladende blev angrebet ikke udført for at begå ondsindede handlinger, men som en demonstration af utilladeligheden af en skødesløs holdning til brugen af duplikerede legitimationsoplysninger på forskellige websteder. Samtidig underrettede angriberen, i modsætning til den etablerede praksis med "etisk hacking", ikke bibliotekets udviklere og lageradministratorer på forhånd om, at eksperimentet blev udført. Angriberen meddelte senere, at efter at det lykkedes ham at få jobbet, ville han offentliggøre en detaljeret rapport om de metoder, der blev brugt i angrebet.
Ifølge data udgivet af Packagist-administratorer brugte alle konti, der administrerede de kompromitterede pakker, adgangskoder, der var lette at gætte, uden at aktivere to-faktor-godkendelse. Det hævdes, at de hackede konti brugte adgangskoder, der ikke kun blev brugt i Packagist, men også i andre tjenester, hvis adgangskodedatabaser tidligere var kompromitteret og blev offentligt tilgængelige. Indfangning af e-mails fra kontoejere, der var knyttet til udløbne domæner, kunne også bruges som en mulighed for at få adgang.
Kompromitterede pakker:
- acmephp/acmephp (124,860 installationer i hele pakkens levetid)
- acmephp/core (419,258)
- acmephp/ssl (531,692)
- doctrine/doctrine-cache-bundle (73,490,057)
- doktrin/doktrin-modul (5,516,721)
- doktrin/doktrin-mongo-odm-modul (516,441)
- doktrin/doktrin-orm-modul (5,103,306)
- doktrin/instantiator (526,809,061)
- vækstbog/vækstbog (97,568
- jdorn/filsystem-cache (32,660)
- jdorn/sql-formatter (94,593,846)
- khanamiryan/qrcode-detector-decoder (20,421,500)
- object-calisthenics/phpcs-calisthenics-rules (2,196,380)
- tga/simhash-php, tgalopin/simhashphp (30,555)
Kilde: opennet.ru