Administratörer av Packagist-paketförrådet har avslöjat en attack som tog kontroll över kontona för underhållare av 14 PHP-bibliotek, inklusive sådana populära paket som instantiator (526 miljoner installationer totalt, 8 miljoner installationer per månad, 323 beroende paket), sql-formatter (94 miljoner installationer totalt, 800 tusen per månad), 109 tusen per månad, 73 tusen per månad, catrine installationer totalt, 500 348 20 per månad, 400 beroende paket) och rcode-detector-decoder (66 miljoner totala installationer, XNUMX XNUMX per månad, XNUMX beroende paket).
Efter att kontona äventyrats ändrade angriparen filen composer.json och lade till informationen i projektbeskrivningsfältet om att han letade efter ett jobb relaterat till informationssäkerhet. För att göra en ändring av filen composer.json ersatte angriparen URL:erna till de ursprungliga förvaren med länkar till modifierade gafflar (endast metadata med länkar till projekt utvecklade på GitHub tillhandahålls i Packagist, vid installation med kommandot "composer install" eller "composer update" laddas paketen ner direkt från GitHub). Till exempel, för acmephp-paketet, ändrades det länkade arkivet från acmephp/acmephp till neskafe3v1/acmephp.
Uppenbarligen utfördes attacken inte för att utföra skadliga handlingar, utan som en demonstration av otillåtligheten av en slarvig inställning till användningen av dubbletter av inloggningsuppgifter på olika webbplatser. Samtidigt, i motsats till den etablerade praxisen för "etisk hackning", meddelade angriparen inte biblioteksutvecklare och förvarsadministratörer i förväg om experimentet. Senare sa angriparen att efter att han lyckats få jobb skulle han publicera en detaljerad rapport om de metoder som användes vid attacken.
Enligt information som släppts av Packagist-administratörer använde alla konton som hanterade komprometterade paket lösenord som är lätta att använda utan att aktivera tvåfaktorsautentisering. Det påstås att de hackade kontona använde lösenord som användes inte bara i Packagist, utan även i andra tjänster vars lösenordsdatabaser tidigare äventyrats och offentliggjorts. Att fånga e-postmeddelanden från kontoinnehavare som var bundna till utgångna domäner kan också användas som ett alternativ för att få åtkomst.
Komprometterade paket:
- acmephp/acmephp (124,860 XNUMX installationer under paketets livstid)
- acmephp/core(419,258 XNUMX)
- acmephp/ssl (531,692 XNUMX)
- doctrine/doctrine-cache-bundle (73,490,057 XNUMX XNUMX)
- doktrin/doktrin-modul (5,516,721 XNUMX XNUMX)
- doktrin/doktrin-mongo-odm-modul (516,441 XNUMX)
- doctrine/doctrine-orm-module (5,103,306 XNUMX XNUMX)
- doktrin/instantiator (526,809,061 XNUMX XNUMX)
- tillväxtbok/tillväxtbok (97,568 XNUMX
- jdorn/filsystem-cache (32,660 XNUMX)
- jdorn/sql-formatter (94,593,846 XNUMX XNUMX)
- khanamiryan/qrcode-detector-decoder (20,421,500 XNUMX XNUMX)
- object-calisthenics/phpcs-calisthenics-rules (2,196,380 XNUMX XNUMX)
- tga/simhash-php, tgalopin/simhashphp (30,555 XNUMX)
Källa: opennet.ru