Stjórnendur Packagist pakkageymslunnar birtu upplýsingar um árás sem leiddi til stjórnunar á reikningum meðfylgjandi 14 PHP bókasöfnum, þar á meðal vinsælum pakka eins og instantiator (526 milljónir uppsetningar alls, 8 milljónir uppsetningar á mánuði, 323 háðir pakkar), sql -formatter (94 milljónir alls uppsetningar, 800 þúsund á mánuði, 109 háðir pakkar), kenning-skyndiminni-búnt (73 milljónir alls uppsetningar, 500 þúsund á mánuði, 348 háðir pakkar) og rcode-detector-decoder (20 milljón uppsetningar alls, 400 þúsund á mánuði, 66 háðir pakkar).
Eftir að hafa farið í hættu á reikningunum breytti árásarmaðurinn composer.json skránni og bætti við upplýsingum í verklýsingareitinn um að hann væri að leita að starfi sem tengist upplýsingaöryggi. Til að gera breytingar á composer.json skránni skipti árásarmaðurinn út vefslóðum upprunalegu geymslnanna fyrir tenglum á breytta gaffla (Packagist veitir aðeins lýsigögn með tenglum á verkefni sem þróuð eru á GitHub; þegar hann var settur upp með "composer install" eða "composer update" skipun, pakkar eru sóttir beint frá GitHub ). Til dæmis, fyrir acmephp pakkann, var tengdri geymslunni breytt úr acmephp/acmephp í neskafe3v1/acmephp.
Svo virðist sem árásin hafi ekki verið gerð til að fremja illgjarnar aðgerðir, heldur til að sýna fram á að óviðunandi sé kærulaus afstaða til notkunar afrita skilríkja á mismunandi stöðum. Á sama tíma lét árásarmaðurinn, þvert á viðurkenndar venjur um „siðferðilegt reiðhestur“, ekki tilkynna verktaki bókasafnsins og geymslustjórnendur fyrirfram um tilraunina sem var framkvæmd. Árásarmaðurinn tilkynnti síðar að eftir að honum tækist að fá starfið myndi hann birta ítarlega skýrslu um aðferðir sem notaðar voru við árásina.
Samkvæmt gögnum sem gefin voru út af Packagist stjórnendum notuðu allir reikningar sem stýrðu málamiðlunarpakkanum lykilorð sem auðvelt er að giska á án þess að virkja tvíþætta auðkenningu. Fullyrt er að tölvuþrjótuðu reikningarnir hafi notað lykilorð sem voru ekki aðeins notuð í Packagist, heldur einnig í öðrum þjónustum, þar sem lykilorðagagnagrunnar voru áður í hættu og urðu aðgengilegir almenningi. Að fanga tölvupóst eigenda reikninga sem voru tengdir við útrunnið lén gæti einnig verið notað sem valkostur til að fá aðgang.
Pakkar í hættu:
- acmephp/acmephp (124,860 uppsetningar fyrir allan líftíma pakkans)
- acmephp/core (419,258)
- acmephp/ssl (531,692)
- kenning/kenning-skyndiminni-búnt (73,490,057)
- kenning/fræðieining (5,516,721)
- kenning/kenning-mongo-odm-eining (516,441)
- kenning/kenning-orm-eining (5,103,306)
- kenning/instantiator (526,809,061)
- vaxtarbók/vaxtarbók (97,568
- jdorn/file-system-cache (32,660)
- jdorn/sql-formatter (94,593,846)
- khanamiryan/qrcode-detector-decoder (20,421,500)
- object-calisthenics/phpcs-calisthenics-reglur (2,196,380)
- tga/simhash-php, tgalopin/simhashphp (30,555)
Heimild: opennet.ru