Packagist パッケージ リポジトリの管理者は、インスタンシエーター (合計 14 億 526 万インストール、月間 8 万インストール、323 の依存パッケージ)、SQL などの人気のあるパッケージを含む、付随する 94 の PHP ライブラリのアカウントを制御する攻撃に関する情報を公開しました。 -formatter (総インストール数 800 万、月あたり 109 万、依存パッケージ 73)、doctrine-cache-bundle (総インストール数 500 万、月あたり 348 万、依存パッケージ 20)、および rcode-detector-decoder (総インストール数 400 万、月あたり 66 万、依存パッケージは XNUMX 個)。
攻撃者はアカウントを侵害した後、composer.json ファイルを変更し、プロジェクトの説明フィールドに情報セキュリティ関連の仕事を探しているという情報を追加しました。 攻撃者は、composer.json ファイルに変更を加えるために、元のリポジトリの URL を変更されたフォークへのリンクに置き換えました (Packagist は、GitHub で開発されたプロジェクトへのリンクを含むメタデータのみを提供します。「composer install」または「composer update」でインストールする場合)。コマンドの場合、パッケージは GitHub から直接ダウンロードされます)。 たとえば、acmephp パッケージの場合、リンクされたリポジトリが acmephp/acmephp から neskafe3v1/acmephp に変更されました。
どうやら、この攻撃は悪意のある行為を行うためではなく、異なるサイトで重複した資格情報を使用することに対する不注意な態度が容認できないことを示すために実行されたようです。 同時に、攻撃者は、「倫理的ハッキング」の確立された慣行に反して、ライブラリ開発者とリポジトリ管理者に実験の実施について事前に通知しませんでした。 その後、攻撃者は、仕事の獲得に成功したら、攻撃に使用された手法に関する詳細なレポートを発行すると発表しました。
Packagist 管理者が公開したデータによると、侵害されたパッケージを管理していたすべてのアカウントは、XNUMX 要素認証を有効にせずに、推測しやすいパスワードを使用していました。 ハッキングされたアカウントは、Packagist だけでなく他のサービスでも使用されていたパスワードを使用していたと言われており、そのパスワード データベースは以前に侵害され、一般に公開されていました。 期限切れのドメインにリンクされているアカウント所有者の電子メールをキャプチャすることも、アクセスを取得するオプションとして使用される可能性があります。
侵害されたパッケージ:
- acmephp/acmephp (パッケージの有効期間全体で 124,860 回のインストール)
- acmephp/コア (419,258)
- acmephp/ssl (531,692)
- doctrine/doctrine-cache-bundle (73,490,057)
- 教義/教義モジュール (5,516,721)
- doctrine/doctrine-mongo-odm-module (516,441)
- ドクトリン/ドクトリン orm モジュール (5,103,306)
- 教義/インスタンス化者 (526,809,061)
- 成長ブック/成長ブック (97,568
- jdorn/ファイルシステムキャッシュ (32,660)
- jdorn/SQL フォーマッタ (94,593,846)
- カナミリアン/qrコード検出器デコーダー (20,421,500)
- オブジェクト体操/phpcs-体操ルール (2,196,380)
- tga/simhash-php、tgalopin/simhashphp (30,555)
出所: オープンネット.ru