Packagist pakotņu krātuves administratori atklāja informāciju par uzbrukumu, kas pārņēma kontroli pār 14 PHP bibliotēku uzturētāju kontiem, tostarp tādām populārām pakotnēm kā instalācijas instalācijas (kopā 526 miljoni instalāciju, 8 miljoni instalāciju mēnesī, 323 atkarīgās pakotnes), sql. -formatētājs (94 miljoni instalēšanas gadījumu, 800 109 mēnesī, 73 atkarīgās pakotnes), doktrīnu kešatmiņas komplekts (500 miljoni instalēšanas gadījumu, 348 20 mēnesī, 400 atkarīgās pakotnes) un rcode-detector-decoder (66 miljoni instalāciju, XNUMX tūkstoši mēnesī, XNUMX atkarīgie iepakojumi).
Pēc kontu uzlauzšanas uzbrucējs pārveidoja failu composer.json, pievienojot projekta apraksta laukam informāciju, ka viņš meklē darbu, kas saistīts ar informācijas drošību. Lai veiktu izmaiņas failā composer.json, uzbrucējs aizstāja sākotnējo repozitoriju vietrāžus URL ar saitēm uz modificētām dakšām (Packagist nodrošina tikai metadatus ar saitēm uz GitHub izstrādātajiem projektiem, instalējot ar “composer install” vai “composer update” ” komandu, pakotnes tiek lejupielādētas tieši no GitHub ). Piemēram, pakotnei acmephp saistītais repozitorijs tika mainīts no acmephp/acmephp uz neskafe3v1/acmephp.
Acīmredzot uzbrukums netika veikts, lai veiktu ļaunprātīgas darbības, bet gan demonstrējot neuzmanīgas attieksmes nepieļaujamību pret dublētu akreditācijas datu izmantošanu dažādās vietnēs. Tajā pašā laikā, pretēji iedibinātajai "ētiskās uzlaušanas" praksei, uzbrucējs par eksperimentu iepriekš nepaziņoja bibliotēkas izstrādātājiem un repozitoriju administratoriem. Vēlāk uzbrucējs sacīja, ka pēc tam, kad viņam būs izdevies iegūt darbu, viņš publicēs detalizētu ziņojumu par uzbrukumā izmantotajām metodēm.
Saskaņā ar Packagist administratoru publicēto informāciju visos kontos, kas pārvalda apdraudētās pakotnes, tika izmantotas viegli rupji piespiežamas paroles, neiespējojot divu faktoru autentifikāciju. Tiek apgalvots, ka uzlauztajos kontos izmantotas paroles, kas tika izmantotas ne tikai Packagist, bet arī citos servisos, kuru paroļu datubāzes iepriekš bija apdraudētas un publiskotas. Piekļuves iegūšanai var izmantot arī to kontu īpašnieku e-pasta ziņojumu tveršanu, kuri bija saistīti ar domēniem, kuriem beidzies derīguma termiņš.
Kompromitētas paketes:
- acmephp/acmephp (124,860 XNUMX instalēšanas reizes pakotnes darbības laikā)
- acmephp/core (419,258)
- acmephp/ssl (531,692 XNUMX)
- doctrine/doctrine-cache-bundle (73,490,057 XNUMX XNUMX)
- doktrīna/doktrīna-modulis (5,516,721 XNUMX XNUMX)
- doctrine/doctrine-mongo-odm-module (516,441 XNUMX)
- doctrine/doctrine-orm-module (5,103,306)
- doktrīna/instantiators (526,809,061 XNUMX XNUMX)
- izaugsmes grāmata/izaugsmes grāmata (97,568 XNUMX
- jdorn/file-system-cache (32,660 XNUMX)
- jdorn/sql-formatter (94,593,846 XNUMX XNUMX)
- khanamiryan/qrcode-detector-decoder (20,421,500 XNUMX XNUMX)
- object-calisthenics/phpcs-calisthenics-rules (2,196,380 XNUMX XNUMX)
- tga/simhash-php, tgalopin/simhashphp (30,555 XNUMX)
Avots: opennet.ru