Administratori repozitorija paketa Packagist otkrili su informacije o napadu koji je rezultirao kontrolom nad računima pratećih 14 PHP biblioteka, uključujući popularne pakete kao što su instantiator (ukupno 526 milijuna instalacija, 8 milijuna instalacija mjesečno, 323 zavisna paketa), sql -formatter (94 milijuna ukupnih instalacija, 800 tisuća mjesečno, 109 zavisnih paketa), doctrine-cache-bundle (73 milijuna ukupnih instalacija, 500 tisuća mjesečno, 348 zavisnih paketa) i rcode-detector-decoder (20 milijuna ukupnih instalacija, 400 tisuća mjesečno, 66 zavisnih paketa).
Nakon kompromitiranja računa, napadač je izmijenio datoteku composer.json, dodajući u polje opisa projekta informaciju da traži posao vezan uz informacijsku sigurnost. Kako bi izvršio izmjene u datoteci composer.json, napadač je zamijenio URL-ove izvornih repozitorija vezama na modificirane forkove (Packagist pruža samo metapodatke s poveznicama na projekte razvijene na GitHubu; prilikom instalacije s "composer install" ili "composer update" naredba, paketi se preuzimaju izravno s GitHuba ). Na primjer, za paket acmephp, povezano spremište promijenjeno je iz acmephp/acmephp u neskafe3v1/acmephp.
Očigledno, napad je izveden ne radi počinjenja zlonamjernih radnji, već kao demonstracija nedopustivosti nemara prema korištenju dvostrukih vjerodajnica na različitim stranicama. Istodobno, napadač, suprotno ustaljenoj praksi "etičkog hakiranja", nije unaprijed obavijestio programere knjižnice i administratore repozitorija o eksperimentu koji se provodi. Napadač je kasnije najavio da će nakon što dobije posao objaviti detaljan izvještaj o metodama napada.
Prema podacima koje su objavili administratori Packagista, svi računi koji su upravljali kompromitiranim paketima koristili su lozinke koje je lako pogoditi bez omogućavanja dvofaktorske autentifikacije. Navodno su hakirani računi koristili lozinke koje su se koristile ne samo u Packagistu, već iu drugim servisima čije su baze podataka lozinki prethodno bile ugrožene i postale javno dostupne. Snimanje e-pošte vlasnika računa koji su bili povezani s isteklim domenama također se može koristiti kao opcija za dobivanje pristupa.
Ugroženi paketi:
- acmephp/acmephp (124,860 instalacija za cijeli vijek trajanja paketa)
- acmephp/core (419,258)
- acmephp/ssl (531,692 XNUMX)
- doctrine/doctrine-cache-bundle (73,490,057)
- doktrina/doktrina-modul (5,516,721)
- doktrina/doktrina-mongo-odm-modul (516,441)
- doktrina/doktrina-orm-modul (5,103,306)
- doktrina/instancijator (526,809,061)
- knjiga rasta/knjiga rasta (97,568
- jdorn/predmemorija-datotečnog-sustava (32,660)
- jdorn/sql-formatter (94,593,846)
- khanamiryan/qrcode-detector-decoder (20,421,500)
- object-calisthenics/phpcs-calisthenics-rules (2,196,380)
- tga/simhash-php, tgalopin/simhashphp (30,555 XNUMX)
Izvor: opennet.ru