Packagist багцын репозиторын администраторууд халдлагын талаарх мэдээллийг задруулсан бөгөөд үүний үр дүнд дагалдах 14 PHP номын сангийн бүртгэл, түүний дотор instantiator (нийт 526 сая суулгац, сард 8 сая суулгац, 323 хамааралтай багц), sql зэрэг алдартай багцууд хяналтанд орсон. -форматор (нийт 94 сая суулгац, сард 800 мянга, 109 хамааралтай багц), doctrine-cache-bundle (73 сая нийт суулгац, сард 500 мянга, 348 хамааралтай багц) болон rcode-детектор-декодер (нийт 20 сая суулгац), Сард 400 мянга, 66 хамааралтай багц).
Бүртгэлүүдийг эвдсэний дараа халдлага үйлдэгч composer.json файлыг өөрчилсөн бөгөөд төслийн тайлбар талбарт мэдээллийн аюулгүй байдалтай холбоотой ажил хайж байгаа гэсэн мэдээллийг оруулсан байна. Халдагчид composer.json файлд өөрчлөлт оруулахын тулд эх хадгалах газрын URL-уудыг өөрчилсөн салаа холбоосоор сольсон байна (Packagist нь зөвхөн GitHub дээр боловсруулсан төслүүдийн холбоос бүхий мета өгөгдлийг өгдөг; "хөгжүүлэгчийн суулгалт" эсвэл "хөгжмийн зохиолчийн шинэчлэл" -тэй суулгах үед тушаалаар багцуудыг GitHub-аас шууд татаж авдаг). Жишээлбэл, acmephp багцын хувьд холбосон репозиторыг acmephp/acmephp-ээс neskafe3v1/acmephp болгон өөрчилсөн.
Энэ халдлагыг хорлонтой үйлдэл хийх гэж бус харин өөр өөр сайтуудад давхардсан итгэмжлэл ашиглахад хайхрамжгүй ханддагийг хүлээн зөвшөөрч болохгүйг харуулсан хэрэг болсон бололтой. Үүний зэрэгцээ халдлага үйлдэгч нь "ёс зүйн хакердах" практикээс үл хамааран туршилтын талаар номын сангийн хөгжүүлэгчид болон репозиторын админуудад урьдчилан мэдэгдээгүй. Халдлага үйлдсэн этгээд дараа нь ажлаа амжилттай авсныхаа дараа халдлагад ашигласан аргуудын талаар дэлгэрэнгүй тайлан нийтлэх болно гэж мэдэгджээ.
Packagist администраторуудын нийтэлсэн мэдээллээс үзэхэд нууцлагдсан багцуудыг удирдаж байсан бүх бүртгэлүүд хоёр хүчин зүйлийн баталгаажуулалтыг идэвхжүүлэлгүйгээр таахад хялбар нууц үг ашигласан байна. Хакердсан акаунтууд нь зөвхөн Packagist төдийгүй бусад үйлчилгээнүүдэд ашиглагдаж байсан нууц үгийг ашигласан бөгөөд нууц үгийн сан нь өмнө нь халдаж, олон нийтэд нээлттэй болсон гэж үзэж байна. Хугацаа нь дууссан домэйнтэй холбогдсон данс эзэмшигчдийн имэйлийг авах нь хандалт авах сонголт болгон ашиглаж болно.
Эвдэрсэн багцууд:
- acmephp/acmephp (багцын ашиглалтын хугацаанд 124,860 суулгац)
- acmephp/core (419,258)
- acmephp/ssl (531,692)
- doctrine/doctrine-cache-bundle (73,490,057)
- сургаал/сургаал-модуль (5,516,721)
- сургаал/сургаал-монго-одм-модуль (516,441)
- сургаал/сургаал-орм-модуль (5,103,306)
- сургаал/үнэлэгч (526,809,061)
- өсөлтийн дэвтэр/өсөлтийн дэвтэр (97,568
- jdorn/file-system-cache (32,660)
- jdorn/sql форматлагч (94,593,846)
- khanamiryan/qrcode-детектор-декодер (20,421,500)
- объект-калистеник/phpcs-калистеник-дүрэм (2,196,380)
- tga/simhash-php, tgalopin/simhashphp (30,555)
Эх сурвалж: opennet.ru