Übernahme der Kontrolle über 14 PHP-Bibliotheken im Packagist-Repository abgefangen

Die Administratoren des Paket-Repositorys Packagist haben Informationen über einen Angriff veröffentlicht, bei dem die Kontrolle über die Konten von 14 PHP-Bibliotheken übernommen wurde. Dazu gehören beliebte Pakete wie instantiator (526 Millionen Gesamtinstallationen, 8 Millionen Installationen im Monat, 323 abhängige Pakete), sql-formatter (94 Millionen Gesamtinstallationen, 800.000 im Monat, 109 abhängige Pakete), doctrine-cache-bundle (73 Millionen Gesamtinstallationen, 500.000 im Monat, 348 abhängige Pakete) und rcode-detector-decoder (20 Millionen Gesamtinstallationen, 400.000 im Monat, 66 abhängige Pakete).

Nach der Kompromittierung der Konten änderte der Angreifer die Datei composer.json und fügte im Projektbeschreibungsfeld die Information hinzu, dass er nach einem Job im Bereich Informationssicherheit suche. Um die Änderung in der Datei composer.json vorzunehmen, ersetzte der Angreifer die URLs der ursprünglichen Repositories durch Links zu modifizierten Forks (bei Packagist werden nur Metadaten mit Links zu Projekten bereitgestellt, die auf GitHub entwickelt werden; bei der Ausführung der Befehle „composer install“ oder „composer update“ werden die Pakete direkt von GitHub heruntergeladen). Zum Beispiel wurde für das Paket acmephp das zugehörige Repository von acmephp/acmephp auf neskafe3v1/acmephp geändert.

Anscheinend wurde der Angriff nicht mit dem Ziel, schädliche Handlungen zu vollziehen, ausgeführt, sondern um die Unzulässigkeit der fahrlässigen Handhabung von wiederverwendbaren Zugangsdaten auf verschiedenen Webseiten zu demonstrieren. Dabei hat der Angreifer entgegen der gängigen Praxis der "ethischen Hacks" die Entwickler der Bibliotheken und die Administratoren des Repositories nicht im Voraus über das durchgeführte Experiment informiert. Später gab der Angreifer bekannt, dass er nach Erhalt einer Anstellung einen detaillierten Bericht über die in dem Angriff verwendeten Methoden veröffentlichen werde.

Laut den von den Administratoren von Packagist veröffentlichten Informationen wurden in allen Konten, die die kompromittierten Pakete verwalteten, leicht zu erratende Passwörter verwendet, ohne dass eine Zwei-Faktor-Authentifizierung aktiviert war. Es wird behauptet, dass in den gehackten Konten Passwörter verwendet wurden, die nicht nur in Packagist, sondern auch in anderen Diensten verwendet wurden, deren Passwortdatenbanken zuvor kompromittiert und öffentlich zugänglich gemacht wurden. Als weitere Möglichkeit zum Zugriff könnte auch das Abfangen der E-Mails der Kontoinhaber, die mit abgelaufenen Domains verknüpft waren, genutzt worden sein.

Komprimierte Pakete:

  • acmephp/acmephp (124.860 Installationen insgesamt)
  • acmephp/core (419.258)
  • acmephp/ssl (531.692)
  • doctrine/doctrine-cache-bundle (73.490.057)
  • doctrine/doctrine-module (5.516.721)
  • doctrine/doctrine-mongo-odm-module (516.441)
  • doctrine/doctrine-orm-module (5.103.306)
  • doctrine/instantiator (526.809.061)
  • growthbook/growthbook (97.568)
  • jdorn/file-system-cache (32.660)
  • jdorn/sql-formatter (94.593.846)
  • khanamiryan/qrcode-detector-decoder (20.421.500)
  • object-calisthenics/phpcs-calisthenics-rules (2.196.380)
  • tga/simhash-php, tgalopin/simhashphp (30.555)

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster