Packagist-pakettivaraston ylläpitäjät paljastivat yksityiskohtia hyökkäyksestä, joka otti hallintaansa 14 PHP-kirjaston ylläpitäjien tilit, mukaan lukien suositut paketit kuten instantiator (yhteensä 526 miljoonaa asennusta, 8 miljoonaa asennusta kuukaudessa, 323 riippuvaista pakettia), sql -formaatin (yhteensä 94 miljoonaa asennusta, 800 109 asennusta kuukaudessa, 73 riippuvaista pakettia), doctrine-cache-paketti (yhteensä 500 miljoonaa, 348 20 kuukaudessa, 400 riippuvaista pakettia) ja rcode-detector-dekooderi (yhteensä 66 miljoonaa asennusta, XNUMX tuhatta kuukaudessa, XNUMX riippuvaista pakettia).
Kun tilit olivat vaarantuneet, hyökkääjä muokkasi composer.json-tiedostoa ja lisäsi projektin kuvauskenttään tiedon, että hän etsii tietoturvaan liittyvää työtä. Tehdäkseen muutoksen composer.json-tiedostoon hyökkääjä korvasi alkuperäisten tietovarastojen URL-osoitteet linkeillä muokattuihin haarukoihin (Packagist tarjoaa vain metatiedot, joissa on linkkejä GitHubissa kehitettyihin projekteihin, kun se asennetaan "composer install" tai "composer update" kanssa ”-komento, paketit ladataan suoraan GitHubista ). Esimerkiksi acmephp-paketissa linkitetty arkisto muutettiin acmephp/acmephp:stä muotoon neskafe3v1/acmephp.
Ilmeisesti hyökkäystä ei suoritettu haitallisten toimien suorittamiseksi, vaan osoituksena siitä, että huolimaton asenne on mahdotonta hyväksyä päällekkäisten valtuustietojen käyttöä eri sivustoilla. Samaan aikaan, vastoin "eettisen hakkeroinnin" vakiintunutta käytäntöä, hyökkääjä ei ilmoittanut kokeilusta etukäteen kirjastojen kehittäjille ja tietovaraston ylläpitäjille. Myöhemmin hyökkääjä sanoi, että saatuaan työpaikan hän julkaisee yksityiskohtaisen raportin hyökkäyksessä käytetyistä menetelmistä.
Packagist-järjestelmänvalvojien julkaisemien tietojen mukaan kaikki vaarantunutta pakettia hallinnoivat tilit käyttivät helposti pakotettavia salasanoja ilman kaksivaiheista todennusta. Hakkeroitujen tilien väitetään käyttäneen salasanoja, joita käytettiin paitsi Packagistissa myös muissa palveluissa, joiden salasanatietokannat olivat aiemmin vaarantuneet ja julkistettu. Vanhentuneisiin verkkotunnuksiin sidottujen tilinomistajien sähköpostien kaappaamista voidaan käyttää myös pääsyn hankkimiseen.
Vaaralliset paketit:
- acmephp/acmephp (124,860 XNUMX asennusta paketin elinkaaren aikana)
- acmephp/core (419,258 XNUMX)
- acmephp/ssl (531,692 XNUMX)
- doctrine/doctrine-cache-bundle (73,490,057 XNUMX XNUMX)
- oppi/doktriini-moduuli (5,516,721 XNUMX XNUMX)
- doctrine/doctrine-mongo-odm-module (516,441 XNUMX)
- doctrine/doctrine-orm-module (5,103,306 XNUMX XNUMX)
- oppi/instantiaattori (526,809,061 XNUMX XNUMX)
- kasvukirja/kasvukirja (97,568 XNUMX
- jdorn/file-system-cache (32,660 XNUMX)
- jdorn/sql-formatter (94,593,846 XNUMX XNUMX)
- khanamiryan/qrcode-detector-decoder (20,421,500 XNUMX XNUMX)
- object-calisthenics/phpcs-calisthenics-rules (2,196,380 XNUMX XNUMX)
- tga/simhash-php, tgalopin/simhashphp (30,555 XNUMX)
Lähde: opennet.ru