ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > ಪ್ಯಾಕೇಜಿಸ್ಟ್ ರೆಪೊಸಿಟರಿಯಲ್ಲಿ 14 PHP ಲೈಬ್ರರಿಗಳ ನಿಯಂತ್ರಣವನ್ನು ತೆಗೆದುಕೊಳ್ಳಲಾಗಿದೆ

ಪ್ಯಾಕೇಜಿಸ್ಟ್ ರೆಪೊಸಿಟರಿಯಲ್ಲಿ 14 PHP ಲೈಬ್ರರಿಗಳ ನಿಯಂತ್ರಣವನ್ನು ತೆಗೆದುಕೊಳ್ಳಲಾಗಿದೆ

ಪ್ಯಾಕೇಜಿಸ್ಟ್ ಪ್ಯಾಕೇಜ್ ರೆಪೊಸಿಟರಿಯ ನಿರ್ವಾಹಕರು ದಾಳಿಯ ವಿವರಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸಿದರು, ಅದು 14 ಪಿಎಚ್‌ಪಿ ಲೈಬ್ರರಿಗಳ ನಿರ್ವಾಹಕರ ಖಾತೆಗಳ ನಿಯಂತ್ರಣವನ್ನು ತೆಗೆದುಕೊಂಡಿತು, ಇದರಲ್ಲಿ ಇನ್‌ಸ್ಟಾಂಟಿಯೇಟರ್ (ಒಟ್ಟು 526 ಮಿಲಿಯನ್ ಸ್ಥಾಪನೆಗಳು, ತಿಂಗಳಿಗೆ 8 ಮಿಲಿಯನ್ ಸ್ಥಾಪನೆಗಳು, 323 ಅವಲಂಬಿತ ಪ್ಯಾಕೇಜ್‌ಗಳು), sql. -ಫಾರ್ಮ್ಯಾಟರ್ (ಒಟ್ಟು 94M ಸ್ಥಾಪನೆಗಳು, ಒಂದು ತಿಂಗಳಲ್ಲಿ 800K, 109 ಅವಲಂಬಿತ ಪ್ಯಾಕೇಜ್‌ಗಳು), ಸಿದ್ಧಾಂತ-ಸಂಗ್ರಹ-ಬಂಡಲ್ (ಒಟ್ಟು 73M, ಒಂದು ತಿಂಗಳಲ್ಲಿ 500K, 348 ಅವಲಂಬಿತ ಪ್ಯಾಕೇಜ್‌ಗಳು) ಮತ್ತು rcode-ಡಿಟೆಕ್ಟರ್-ಡಿಕೋಡರ್ (ಒಟ್ಟು 20M ಸ್ಥಾಪನೆಗಳು , 400 ತಿಂಗಳಿಗೆ ಸಾವಿರ, 66 ಅವಲಂಬಿತ ಪ್ಯಾಕೇಜುಗಳು).

ಖಾತೆಗಳನ್ನು ರಾಜಿ ಮಾಡಿಕೊಂಡ ನಂತರ, ಆಕ್ರಮಣಕಾರರು composer.json ಫೈಲ್ ಅನ್ನು ಮಾರ್ಪಡಿಸಿದರು, ಯೋಜನೆಯ ವಿವರಣೆ ಕ್ಷೇತ್ರಕ್ಕೆ ಅವರು ಮಾಹಿತಿ ಭದ್ರತೆಗೆ ಸಂಬಂಧಿಸಿದ ಕೆಲಸವನ್ನು ಹುಡುಕುತ್ತಿದ್ದಾರೆ ಎಂಬ ಮಾಹಿತಿಯನ್ನು ಸೇರಿಸಿದರು. Composer.json ಫೈಲ್‌ಗೆ ಬದಲಾವಣೆಯನ್ನು ಮಾಡಲು, ಆಕ್ರಮಣಕಾರರು ಮೂಲ ರೆಪೊಸಿಟರಿಗಳ URL ಗಳನ್ನು ಮಾರ್ಪಡಿಸಿದ ಫೋರ್ಕ್‌ಗಳಿಗೆ ಲಿಂಕ್‌ಗಳೊಂದಿಗೆ ಬದಲಾಯಿಸಿದ್ದಾರೆ (“ಸಂಯೋಜಕ ಸ್ಥಾಪನೆ” ಅಥವಾ “ಸಂಯೋಜಕ ನವೀಕರಣದೊಂದಿಗೆ ಸ್ಥಾಪಿಸುವಾಗ, GitHub ನಲ್ಲಿ ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ ಯೋಜನೆಗಳಿಗೆ ಲಿಂಕ್‌ಗಳೊಂದಿಗೆ ಪ್ಯಾಕೇಜಿಸ್ಟ್ ಮೆಟಾಡೇಟಾವನ್ನು ಮಾತ್ರ ಒದಗಿಸುತ್ತದೆ. ” ಆಜ್ಞೆ, ಪ್ಯಾಕೇಜುಗಳನ್ನು ನೇರವಾಗಿ GitHub ನಿಂದ ಡೌನ್‌ಲೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ ). ಉದಾಹರಣೆಗೆ, acmephp ಪ್ಯಾಕೇಜ್‌ಗಾಗಿ, ಲಿಂಕ್ ಮಾಡಲಾದ ರೆಪೊಸಿಟರಿಯನ್ನು acmephp/acmephp ನಿಂದ neskafe3v1/acmephp ಗೆ ಬದಲಾಯಿಸಲಾಗಿದೆ.

ಸ್ಪಷ್ಟವಾಗಿ, ದಾಳಿಯನ್ನು ದುರುದ್ದೇಶಪೂರಿತ ಕ್ರಿಯೆಗಳನ್ನು ಮಾಡಲು ನಡೆಸಲಾಗಿಲ್ಲ, ಆದರೆ ವಿವಿಧ ಸೈಟ್‌ಗಳಲ್ಲಿ ನಕಲಿ ರುಜುವಾತುಗಳ ಬಳಕೆಗೆ ಅಸಡ್ಡೆ ವರ್ತನೆಯ ಅಸಡ್ಡೆಯ ಪ್ರದರ್ಶನವಾಗಿದೆ. ಅದೇ ಸಮಯದಲ್ಲಿ, "ನೈತಿಕ ಹ್ಯಾಕಿಂಗ್" ನ ಸ್ಥಾಪಿತ ಅಭ್ಯಾಸಕ್ಕೆ ವಿರುದ್ಧವಾಗಿ, ಆಕ್ರಮಣಕಾರರು ಲೈಬ್ರರಿ ಡೆವಲಪರ್‌ಗಳು ಮತ್ತು ರೆಪೊಸಿಟರಿ ನಿರ್ವಾಹಕರಿಗೆ ಪ್ರಯೋಗದ ಬಗ್ಗೆ ಮುಂಚಿತವಾಗಿ ತಿಳಿಸಲಿಲ್ಲ. ನಂತರ, ದಾಳಿಕೋರನು ತಾನು ಕೆಲಸ ಪಡೆಯುವಲ್ಲಿ ಯಶಸ್ವಿಯಾದ ನಂತರ, ದಾಳಿಯಲ್ಲಿ ಬಳಸಿದ ವಿಧಾನಗಳ ಬಗ್ಗೆ ವಿವರವಾದ ವರದಿಯನ್ನು ಪ್ರಕಟಿಸುವುದಾಗಿ ಹೇಳಿದರು.

ಪ್ಯಾಕೇಜಿಸ್ಟ್ ನಿರ್ವಾಹಕರು ಬಿಡುಗಡೆ ಮಾಡಿದ ಮಾಹಿತಿಯ ಪ್ರಕಾರ, ರಾಜಿಯಾದ ಪ್ಯಾಕೇಜುಗಳನ್ನು ನಿರ್ವಹಿಸುವ ಎಲ್ಲಾ ಖಾತೆಗಳು ಎರಡು-ಅಂಶದ ದೃಢೀಕರಣವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸದೆಯೇ ಸುಲಭವಾಗಿ-ಪ್ರೂಟ್-ಫೋರ್ಸ್ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಬಳಸುತ್ತವೆ. ಹ್ಯಾಕ್ ಮಾಡಿದ ಖಾತೆಗಳು ಪ್ಯಾಕೇಜಿಸ್ಟ್‌ನಲ್ಲಿ ಮಾತ್ರವಲ್ಲದೆ ಪಾಸ್‌ವರ್ಡ್ ಡೇಟಾಬೇಸ್‌ಗಳನ್ನು ಈ ಹಿಂದೆ ರಾಜಿ ಮಾಡಿಕೊಂಡಿರುವ ಮತ್ತು ಸಾರ್ವಜನಿಕಗೊಳಿಸಿದ ಇತರ ಸೇವೆಗಳಲ್ಲಿ ಬಳಸಲಾದ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಬಳಸಲಾಗಿದೆ ಎಂದು ಆರೋಪಿಸಲಾಗಿದೆ. ಅವಧಿ ಮೀರಿದ ಡೊಮೇನ್‌ಗಳಿಗೆ ಸಂಬಂಧಿಸಿರುವ ಖಾತೆದಾರರ ಇಮೇಲ್‌ಗಳನ್ನು ಸೆರೆಹಿಡಿಯುವುದನ್ನು ಸಹ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಒಂದು ಆಯ್ಕೆಯಾಗಿ ಬಳಸಬಹುದು.

ರಾಜಿಯಾದ ಪ್ಯಾಕೇಜ್‌ಗಳು:

  • acmephp/acmephp (ಪ್ಯಾಕೇಜ್‌ನ ಜೀವಿತಾವಧಿಯಲ್ಲಿ 124,860 ಸ್ಥಾಪನೆಗಳು)
  • acmephp/core(419,258)
  • acmephp/ssl (531,692)
  • ಸಿದ್ಧಾಂತ/ಸಿದ್ಧಾಂತ-ಸಂಗ್ರಹ-ಬಂಡಲ್ (73,490,057)
  • ಸಿದ್ಧಾಂತ/ಸಿದ್ಧಾಂತ-ಮಾಡ್ಯೂಲ್ (5,516,721)
  • ಸಿದ್ಧಾಂತ/ಸಿದ್ಧಾಂತ-ಮೊಂಗೋ-ಒಡಿಎಂ-ಮಾಡ್ಯೂಲ್ (516,441)
  • ಸಿದ್ಧಾಂತ/ಡಾಕ್ಟ್ರಿನ್-ಆರ್ಮ್-ಮಾಡ್ಯೂಲ್ (5,103,306)
  • ಸಿದ್ಧಾಂತ/ಇನ್‌ಸ್ಟಾಂಟಿಯೇಟರ್ (526,809,061)
  • ಗ್ರೋತ್‌ಬುಕ್/ಗ್ರೋತ್‌ಬುಕ್ (97,568
  • jdorn/file-system-cache (32,660)
  • jdorn/sql-formatter (94,593,846)
  • ಖಾನಮಿರಿಯನ್/qrcode-ಡಿಟೆಕ್ಟರ್-ಡಿಕೋಡರ್ (20,421,500)
  • ಆಬ್ಜೆಕ್ಟ್-ಕ್ಯಾಲಿಸ್ಟೆನಿಕ್ಸ್/phpcs-ಕ್ಯಾಲಿಸ್ಟೆನಿಕ್ಸ್-ನಿಯಮಗಳು (2,196,380)
  • tga/simhash-php, tgalopin/simhashphp (30,555)

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ