Administrator gudang paket Packagist ngumumake informasi babagan serangan sing nyebabake kontrol akun 14 perpustakaan PHP sing didampingi, kalebu paket populer kayata instantiator (total 526 yuta instalasi, 8 yuta instalasi saben sasi, 323 paket gumantung), sql -formatter (94 yuta total instalasi, 800 ewu saben sasi, 109 paket gumantung), doctrine-cache-bundle (73 yuta total instalasi, 500 ewu saben sasi, 348 paket gumantung) lan rcode-detector-decoder (20 yuta total instalasi , 400 ewu saben wulan, 66 paket gumantung).
Sawise kompromi akun kasebut, panyerang ngowahi file composer.json, nambahake informasi ing kolom deskripsi proyek yen dheweke nggoleki proyek sing ana hubungane karo keamanan informasi. Kanggo nggawe owahan ing file composer.json, panyerang ngganti URL saka repositori asli kanthi pranala menyang garpu sing diowahi (Packagist mung nyedhiyakake metadata kanthi pranala menyang proyek sing dikembangake ing GitHub; nalika nginstal nganggo "instalasi komposer" utawa "update komposer" printah, paket diundhuh langsung saka GitHub ). Contone, kanggo paket acmephp, gudang sing disambung diganti saka acmephp/acmephp dadi neskafe3v1/acmephp.
Ketoke, serangan kasebut ditindakake ora kanggo nindakake tumindak ala, nanging minangka demonstrasi ora bisa ditampa saka sikap ceroboh babagan nggunakake kredensial duplikat ing situs sing beda-beda. Ing wektu sing padha, panyerang, sing bertentangan karo praktik "peretasan etika," ora menehi kabar marang pangembang perpustakaan lan pangurus repositori sadurunge babagan eksperimen sing ditindakake. Panyerang kasebut banjur ngumumake yen sawise dheweke entuk proyek kasebut, dheweke bakal nerbitake laporan rinci babagan metode sing digunakake ing serangan kasebut.
Miturut data sing diterbitake dening administrator Packagist, kabeh akun sing ngatur paket sing dikompromi nggunakake sandhi sing gampang ditebak tanpa ngidini otentikasi rong faktor. Dituduhake manawa akun sing disusupi nggunakake sandhi sing digunakake ora mung ing Packagist, nanging uga ing layanan liyane, database sandhi sing sadurunge dikompromi lan kasedhiya kanggo umum. Njupuk email saka pamilik akun sing disambung menyang domain kadaluwarsa uga bisa digunakake minangka pilihan kanggo entuk akses.
Paket kompromi:
- acmephp/acmephp (124,860 instalasi kanggo kabeh urip paket)
- acmephp/inti (419,258)
- acmephp/ssl (531,692)
- doktrin/doktrin-cache-bundel (73,490,057)
- doctrine/doctrine-modul (5,516,721)
- doctrine/doctrine-mongo-odm-module (516,441)
- doctrine/doctrine-orm-modul (5,103,306)
- doktrin/instantiator (526,809,061)
- buku pertumbuhan/pertumbuhan (97,568
- jdorn/file-system-cache (32,660)
- jdorn/sql-formatter (94,593,846)
- khanamiryan/qrcode-detector-decoder (20,421,500)
- object-calisthenics/phpcs-calisthenics-rules (2,196,380)
- tga/simhash-php, tgalopin/simhashphp (30,555)
Source: opennet.ru