Packagist paketeen biltegiko administratzaileek 14 PHP liburutegiren mantentzaileen kontuak kontrolatu zituen eraso baten xehetasunak ezagutarazi zituzten, instantziatzailea bezalako pakete ezagunak barne (526 milioi instalazio guztira, 8 milioi instalazio hilean, 323 menpeko pakete), sql. -formatter (94M instalazio guztira, 800K hilabete batean, 109 menpeko pakete), doctrine-cache-bundle (73M guztira, 500K hilabete batean, 348 menpeko pakete) eta rcode-detektagailu-deskodetzailea (20M instalazio guztira, 400 mila hilean, menpeko 66 pakete).
Kontuak arriskuan jarri ondoren, erasotzaileak composer.json fitxategia aldatu zuen, proiektuaren deskribapen eremuan informazioaren segurtasunarekin lotutako lan bat bilatzen ari zelako informazioa gehituz. Composer.json fitxategian aldaketa bat egiteko, erasotzaileak jatorrizko biltegietako URLak aldatutako forketarako estekekin ordezkatu zituen (Packagist-ek GitHub-en garatutako proiektuetarako estekekin metadatuak soilik eskaintzen ditu, "composer install" edo "composer update" batekin instalatzean. β komandoa, paketeak GitHub-etik zuzenean deskargatzen dira). Adibidez, acmephp paketerako, estekatutako biltegia acmephp/acmephp-tik neskafe3v1/acmephp-era aldatu zen.
Dirudienez, erasoa ez zen ekintza gaiztoak egiteko gauzatu, gune ezberdinetan akreditazio bikoiztuak erabiltzearen jarrera arduragabearen onargarritasunik ezaren erakusgarri baizik. Aldi berean, ezarritako "hacking etikoa" praktikaren aurka, erasotzaileak ez zien aldez aurretik jakinarazi liburutegiko garatzaileei eta biltegiko administratzaileei esperimentuaren berri. Geroago, erasotzaileak esan zuen lana lortzea lortu ondoren, erasoan erabilitako metodoei buruzko txosten zehatza argitaratuko zuela.
Packagist-eko administratzaileek kaleratutako informazioaren arabera, arriskuan dauden paketeak kudeatzen zituzten kontu guztiek indar gordinaren pasahitzak erabiltzen zituzten bi faktoreko autentifikazioa gaitu gabe. Uste da hackeatutako kontuek Packagist-en ez ezik, aurretik pasahitzen datu-baseak arriskuan jarri eta publiko egin zituzten beste zerbitzu batzuetan ere erabiltzen zituzten pasahitzak. Iraungitako domeinuetara lotuta zeuden kontuen jabeen mezu elektronikoak harrapatzea ere erabil liteke sarbidea lortzeko aukera gisa.
Konpromisodun paketeak:
- acmephp/acmephp (124,860 instalazioak paketearen bizitzan zehar)
- acmephp/core (419,258)
- acmephp/ssl (531,692)
- doctrine/doctrine-cache-bundle (73,490,057)
- doktrina/doctrina-modulua (5,516,721)
- doktrina/doctrine-mongo-odm-modulua (516,441)
- doktrina/doktrina-orm-modulua (5,103,306)
- doktrina/instantziatzailea (526,809,061)
- hazkunde-liburua/hazkunde-liburua (97,568
- jdorn/fitxategi-sistema-cache (32,660)
- jdorn/sql-formatter (94,593,846)
- khanamiryan/qrcode-detektagailu-deskodetzailea (20,421,500)
- objektu-calisthenics/phppcs-calisthenics-arauak (2,196,380)
- tga/simhash-php, tgalopin/simhashphp (30,555)
Iturria: opennet.ru