Administrator Repositori pakét Packagist ngungkabkeun inpormasi ngeunaan serangan anu nyababkeun kadali akun tina 14 perpustakaan PHP anu disarengan, kalebet bungkusan populér sapertos instantiator (totalna 526 juta pamasangan, 8 juta pamasangan per bulan, bungkusan gumantung 323), sql -formatter (94 juta total pamasangan, 800 rébu pér bulan, 109 bungkusan gumantung), doktrin-cache-bundle (73 juta total pamasangan, 500 rébu pér bulan, 348 bungkusan gumantung) jeung rcode-detector-decoder (20 juta total pamasangan , 400 rébu pér bulan, 66 bungkusan gumantung).
Saatos kompromi akun, panyerang ngarobih file composer.json, nambihan inpormasi dina widang déskripsi proyék yén anjeunna milarian padamelan anu aya hubunganana sareng kaamanan inpormasi. Pikeun ngarobih file composer.json, panyerang ngagentos URL gudang asli sareng tautan kana garpu anu dirobih (Packagist ngan ukur nyayogikeun metadata sareng tautan kana proyék-proyék anu dikembangkeun dina GitHub; nalika masang sareng "instalasi komposer" atanapi "update komposer" paréntah, bungkusan diundeur langsung ti GitHub). Contona, pikeun pakét acmephp, gudang numbu dirobih tina acmephp/acmephp ka neskafe3v1/acmephp.
Tétéla, serangan éta dilumangsungkeun teu ngalakukeun lampah jahat, tapi salaku demonstrasi tina inadmissibility tina sikep cuek kana pamakéan duplikat Kapercayaan dina situs béda. Dina waktos anu sami, panyerang, sabalikna tina prakték "hacking étika," henteu ngabéjaan pamekar perpustakaan sareng pangurus gudang sateuacanna ngeunaan percobaan anu dilaksanakeun. Panyerang engké ngumumkeun yén saatos anjeunna suksés nampi padamelan éta, anjeunna bakal nyebarkeun laporan lengkep ngeunaan metode anu dianggo dina serangan éta.
Numutkeun data anu diterbitkeun ku pangurus Packagist, sadaya akun anu ngatur bungkusan anu dikompromi ngagunakeun kecap akses anu gampang ditebak tanpa ngaktipkeun auténtikasi dua faktor. Dituduhkeun yén akun anu diretas nganggo kecap konci anu dianggo henteu ngan ukur dina Packagist, tapi ogé dina jasa anu sanés, databés sandi anu sateuacana dikompromi sareng janten sayogi umum. Nyokot surelek nu boga akun nu numbu ka domain kadaluwarsa ogé bisa dipaké salaku pilihan pikeun meunangkeun aksés.
Paket anu dikompromi:
- acmephp/acmephp (124,860 pamasangan pikeun sakabéh kahirupan pakét)
- acmephp/inti (419,258)
- acmephp/ssl (531,692)
- doktrin/doktrin-cache-bundle (73,490,057)
- doktrin/doktrin-modul (5,516,721)
- doktrin/doktrin-mongo-odm-modul (516,441)
- doktrin/doktrin-orm-modul (5,103,306)
- doktrin/instantiator (526,809,061)
- buku pertumbuhan/pertumbuhan (97,568
- jdorn/file-system-cache (32,660)
- jdorn/sql-formatter (94,593,846)
- khanamiryan/qrcode-detector-decoder (20,421,500)
- object-calisthenics/phpcs-calisthenics-rules (2,196,380)
- tga/simhash-php, tgalopin/simhashphp (30,555)
sumber: opennet.ru