Packagist пакеті репозиторийінің әкімшілері 14 PHP кітапханасының қызмет көрсетушілерінің есептік жазбаларын бақылауға алған шабуылды ашты, соның ішінде инстанциатор (барлығы 526 миллион орнату, айына 8 миллион орнату, 323 тәуелді бума), sql форматтаушысы (барлығы 94 миллион , , бума (барлығы 800 миллион орнату, айына 109 73 мың, 500 тәуелді пакет) және rcode-детектор-декодер (жалпы 348 миллион орнату, айына 20 мың, 400 тәуелді пакет).
Тіркелгілерге қауіп төнгеннен кейін, шабуылдаушы composer.json файлын өзгертіп, жоба сипаттамасы өрісіне ақпараттық қауіпсіздікке қатысты жұмыс іздеп жатқаны туралы ақпаратты қосады. composer.json файлына өзгерту енгізу үшін, шабуылдаушы өзгертілген шанышқыларға сілтемелермен бастапқы репозитарийлердің URL мекенжайларын ауыстырды (тек GitHub жүйесінде әзірленген жобаларға сілтемелері бар метадеректер Packagist бағдарламасында беріледі, «композиторды орнату» немесе «композиторды жаңарту» пәрменімен орнату кезінде пакеттер тікелей GitHub сайтынан жүктеледі). Мысалы, acmephp бумасы үшін байланыстырылған репозиторий acmephp/acmephp-тен neskafe3v1/acmephp-ге өзгертілді.
Шамасы, шабуыл зиянды әрекеттер жасау үшін емес, әртүрлі сайттарда қайталанатын тіркелгі деректерін пайдалануға немқұрайлы қарауға жол берілмейтінін көрсету ретінде жасалған. Сонымен бірге, қалыптасқан «этикалық бұзу» тәжірибесіне қарамастан, шабуылдаушы кітапхана әзірлеушілері мен репозиторий әкімшілерін эксперимент туралы алдын ала ескертпеді. Кейінірек шабуылдаушы жұмысқа орналасып болған соң, шабуылда қолданылған әдістер туралы егжей-тегжейлі есеп жариялайтынын айтты.
Packagist әкімшілері шығарған ақпаратқа сәйкес, бұзылған бумаларды басқаратын барлық тіркелгілер екі факторлы аутентификацияны қоспай-ақ оңай күштеп қолданылатын құпия сөздерді пайдаланған. Бұзылған тіркелгілер тек Packagist-те ғана емес, сонымен қатар бұрын құпия сөз деректер базасы бұзылып, көпшілікке жарияланған басқа қызметтерде де қолданылған құпия сөздерді пайдаланды деген болжам бар. Мерзімі өткен домендерге байланған тіркелгі иелерінің электрондық пошталарын түсіру қол жеткізу опциясы ретінде де пайдаланылуы мүмкін.
Бұзылған пакеттер:
- acmephp/acmephp (пакеттің қызмет ету мерзімі ішінде 124,860 XNUMX орнату)
- acmephp/core(419,258)
- acmephp/ssl (531,692 XNUMX)
- доктрина/кэш-бума (73,490,057)
- доктрина/доктрина-модуль (5,516,721)
- doctrine/doctrine-mongo-odm-module (516,441)
- доктрина/доктрина-орm-модуль (5,103,306)
- доктрина/бастаушы (526,809,061)
- өсу кітабы/өсу кітабы (97,568 XNUMX
- jdorn/file-жүйе-кэш (32,660)
- jdorn/sql форматтаушысы (94,593,846 XNUMX XNUMX)
- ханамирян/qrcode-детектор-декодер (20,421,500 XNUMX XNUMX)
- объект-калистика/phpcs-калистика-ережелер (2,196,380)
- tga/simhash-php, tgalopin/simhashphp (30,555)
Ақпарат көзі: opennet.ru