Administratori repozitorija paketa Packagist otkrili su detalje napada koji je rezultirao zapljenom računa održavatelja 14 PHP biblioteka, uključujući popularne pakete kao što su instantiator (526 milijuna ukupnih instalacija, 8 milijuna mjesečnih instalacija, 323 ovisna paketa), sql-formatter (94 milijuna ukupnih instalacija, 800 000 mjesečnih instalacija, 109 ovisnih paketa), doctrine-cache-bundle (73 milijuna ukupnih instalacija, 500 000 mjesečnih instalacija, 348 ovisnih paketa) i rcode-detector-decoder (20 milijuna ukupnih instalacija, 400 000 mjesečnih instalacija, 66 ovisnih paketa).
Nakon kompromitiranja računa, napadač je izmijenio datoteku composer.json, dodajući informacije u polje opisa projekta u kojima se navodi da traži posao vezan uz informacijsku sigurnost. Kako bi implementirao modifikaciju composer.json, napadač je zamijenio URL-ove izvornih repozitorija poveznicama na modificirane forkove (Packagist pruža metapodatke samo s poveznicama na projekte koji se održavaju na GitHubu; prilikom instalacije naredbom "composer install" ili "composer update", paketi se preuzimaju izravno s GitHuba). Na primjer, za paket acmephp, pridruženi repozitorij je promijenjen iz acmephp/acmephp u neskafe3v1/acmephp.
Očito, napad nije bio namijenjen počinjenju zlonamjernih djela, već demonstraciji neprihvatljivosti nepažljivog korištenja dupliciranih vjerodajnica na različitim web stranicama. Štoviše, suprotno ustaljenoj praksi "etičkog hakiranja", napadač nije unaprijed obavijestio razvojne programere knjižnice i administratore repozitorija o eksperimentu. Napadač je kasnije izjavio da će nakon što osigura posao objaviti detaljno izvješće o metodama korištenim u napadu.
Prema podacima koje su objavili administratori Packagista, svi računi koji su upravljali kompromitiranim paketima koristili su lako pogođene lozinke bez omogućene dvofaktorske autentifikacije. Tvrdi se da su hakirani računi koristili lozinke ne samo za Packagist već i za druge usluge čije su baze podataka lozinki prethodno bile kompromitirane i javno objavljene. Druga moguća metoda dobivanja pristupa bila je krađa e-mail adresa vlasnika računa povezanih s isteklim domenama.
Kompromitirani paketi:
- acmephp/acmephp (124,860 instalacija tijekom cijelog života)
- acmephp/core (419,258)
- acmephp/ssl (531,692)
- doktrina/paket-predmemorije-doktrine (73,490,057)
- doktrina/modul-doktrine (5,516,721)
- doktrina/doktrina-mongo-odm-modul (516,441)
- doktrina/modul-orm-doktrine (5,103,306)
- doktrina/instancijator (526,809,061)
- knjiga rasta/knjiga rasta (97,568
- jdorn/predmemorija-datotečnog-sustava (32,660)
- jdorn/sql-formatter (94,593,846)
- khanamiryan/qrcode-detector-decoder (20,421,500)
- objektna-kalistenika/phpcs-kalistenika-pravila (2,196,380)
- tga/simhash-php, tgalopin/simhashphp (30 555)
Izvor: opennet.ru
