Packagist փաթեթի պահեստի ադմինիստրատորները բացահայտեցին տեղեկատվություն հարձակման մասին, որը հանգեցրել է PHP ուղեկցող 14 գրադարանների հաշիվների վերահսկողությանը, ներառյալ այնպիսի հայտնի փաթեթներ, ինչպիսիք են instantiator-ը (ընդհանուր առմամբ 526 միլիոն տեղադրում, ամսական 8 միլիոն տեղադրում, 323 կախված փաթեթներ), sql: - ձևաչափ (94 միլիոն ընդհանուր տեղադրում, ամսական 800 հազար, 109 կախված փաթեթ), դոկտրին-քեշ-փաթեթ (73 միլիոն ընդհանուր տեղադրում, ամսական 500 հազար, 348 կախված փաթեթ) և կոդ-դետեկտոր-ապակոդավորիչ (20 միլիոն ընդհանուր տեղադրում, Ամսական 400 հազ., 66 կախյալ փաթեթ):
Հաշիվները կոտրելուց հետո հարձակվողը փոփոխել է composer.json ֆայլը՝ նախագծի նկարագրության դաշտում ավելացնելով տեղեկատվություն, որ աշխատանք է փնտրում՝ կապված տեղեկատվական անվտանգության հետ։ Composer.json ֆայլում փոփոխություններ կատարելու համար հարձակվողը փոխարինել է սկզբնական պահոցների URL-ները փոփոխված պատառաքաղների հղումներով (Packagist-ը տրամադրում է միայն մետատվյալներ GitHub-ում մշակված նախագծերի հղումներով. «composer install» կամ «composer update»-ի միջոցով տեղադրելիս: հրամանը, փաթեթները ներբեռնվում են անմիջապես GitHub-ից): Օրինակ՝ acmephp փաթեթի համար կապակցված պահոցը acmephp/acmephp-ից փոխվել է neskafe3v1/acmephp:
Ըստ ամենայնի, հարձակումն իրականացվել է ոչ թե չարամիտ գործողություններ կատարելու համար, այլ որպես տարբեր կայքերում կրկնօրինակ հավատարմագրերի օգտագործման նկատմամբ անզգույշ վերաբերմունքի անթույլատրելիության դրսեւորում։ Միևնույն ժամանակ, հարձակվողը, հակառակ «էթիկական հակերության» հաստատված պրակտիկայի, նախապես չի տեղեկացրել գրադարանի մշակողներին և պահեստի ադմինիստրատորներին իրականացվող փորձի մասին։ Հարձակվողն ավելի ուշ հայտարարեց, որ այն բանից հետո, երբ իրեն հաջողվի աշխատանք ստանալ, ինքը մանրամասն զեկույց կհրապարակի հարձակման ժամանակ կիրառված մեթոդների մասին:
Packagist-ի ադմինիստրատորների կողմից հրապարակված տվյալների համաձայն, բոլոր հաշիվները, որոնք կառավարում էին վտանգված փաթեթները, օգտագործում էին հեշտ կռահելի գաղտնաբառեր՝ առանց երկգործոն նույնականացման միացնելու: Ենթադրվում է, որ կոտրված աքաունթներում օգտագործվել են գաղտնաբառեր, որոնք օգտագործվել են ոչ միայն Packagist-ում, այլ նաև այլ ծառայություններում, որոնց գաղտնաբառերի տվյալների բազաները նախկինում խաթարվել են և հասանելի են դարձել հանրությանը։ Հաշիվների սեփականատերերի նամակագրությունները, որոնք կապված են ժամկետանց տիրույթների հետ, կարող են օգտագործվել նաև որպես մուտք ստանալու տարբերակ:
Վտանգված փաթեթներ.
- acmephp/acmephp (124,860 տեղադրում փաթեթի ողջ կյանքի ընթացքում)
- acmephp/core (419,258)
- acmephp/ssl (531,692)
- doctrine/doctrine-cache-bundle (73,490,057)
- վարդապետություն/դոկտրինա-մոդուլ (5,516,721)
- doctrine/doctrine-mongo-odm-module (516,441)
- դոկտրինա/դոկտրինա-որմ-մոդուլ (5,103,306)
- վարդապետություն/օրինակիչ (526,809,061)
- աճի գիրք/աճի գիրք (97,568
- jdorn/file-system-cache (32,660)
- jdorn/sql-ձևաչափիչ (94,593,846)
- khanamiryan/qrcode-detector-decoder (20,421,500)
- object-calisthenics/phpcs-calisthenics-rules (2,196,380)
- tga/simhash-php, tgalopin/simhashphp (30,555)
Source: opennet.ru