Packagisti pakettide hoidla administraatorid avalikustasid üksikasjad ründest, mis võttis kontrolli alla 14 PHP teegi hooldajate kontod, sealhulgas sellised populaarsed paketid nagu instantiator (kokku 526 miljonit installi, 8 miljonit installi kuus, 323 sõltuvat paketti), sql - vormindaja (kokku 94 miljonit installi, 800 109 kuus, 73 sõltuvat paketti), doktriin-vahemälu-pakett (kokku 500 miljonit, kuus 348 20, 400 sõltuvat paketti) ja rcode-detektor-dekooder (kokku 66 miljonit installi, XNUMX tuhat kuus, XNUMX sõltuvat paketti).
Pärast kontode ohtu sattumist muutis ründaja faili composer.json, lisades projekti kirjelduse väljale teabe, et ta otsib infoturbega seotud tööd. Faili composer.json muutmiseks asendas ründaja algsete hoidlate URL-id linkidega modifitseeritud kahvlitele (Packagist pakub ainult GitHubis arendatud projektide linkidega metaandmeid, kui installitakse koos "helilooja installi" või "helilooja värskendusega" ” käsk, laaditakse paketid alla otse GitHubist). Näiteks paketi acmephp puhul muudeti lingitud hoidla acmephp/acmephp asemel neskafe3v1/acmephp.
Ilmselt ei korraldatud rünnak pahatahtlike toimingute sooritamiseks, vaid demonstreerimaks hoolimatu suhtumise lubamatust erinevatel saitidel dubleeritud mandaatide kasutamisele. Samas, vastupidiselt väljakujunenud "eetilise häkkimise" tavale, ei teavitanud ründaja eksperimendist eelnevalt raamatukogu arendajaid ja hoidlate administraatoreid. Hiljem ütles ründaja, et pärast seda, kui tal õnnestus tööd saada, avaldab ta üksikasjaliku raporti rünnakus kasutatud meetodite kohta.
Packagisti administraatorite avaldatud teabe kohaselt kasutasid kõik ohustatud pakette haldavad kontod kergesti jõustatavaid paroole ilma kahefaktorilist autentimist võimaldamata. Väidetavalt kasutati häkitud kontodel paroole, mida ei kasutatud mitte ainult Packagistis, vaid ka teistes teenustes, mille paroolide andmebaasid olid varem rikutud ja avalikuks tehtud. Juurdepääsuvõimalusena saab kasutada ka aegunud domeenidega seotud kontoomanike meilide jäädvustamist.
Ohustatud paketid:
- acmephp/acmephp (124,860 XNUMX installimist paketi eluea jooksul)
- acmephp/core (419,258 XNUMX)
- acmephp/ssl (531,692 XNUMX)
- doctrine/doctrine-cache-bundle (73,490,057 XNUMX XNUMX)
- doktriin/doktriin-moodul (5,516,721 XNUMX XNUMX)
- doktriin/doktriin-mongo-odm-moodul (516,441 XNUMX)
- doktriin/doktriin-orm-moodul (5,103,306 XNUMX XNUMX)
- doktriin/instantiator (526,809,061 XNUMX XNUMX)
- kasvuraamat/kasvuraamat (97,568 XNUMX
- jdorn/file-system-cache (32,660 XNUMX)
- jdorn/sql-formatter (94,593,846 XNUMX XNUMX)
- khanamiryan/qrcode-detector-decoder (20,421,500 XNUMX XNUMX)
- object-calisthenics/phpcs-calisthenics-rules (2,196,380 XNUMX XNUMX)
- tga/simhash-php, tgalopin/simhashphp (30,555 XNUMX)
Allikas: opennet.ru