ProHoster > blog > habari za mtandao > Imechukuliwa udhibiti wa maktaba 14 za PHP kwenye hazina ya Packagist

Imechukuliwa udhibiti wa maktaba 14 za PHP kwenye hazina ya Packagist

Wasimamizi wa hazina ya kifurushi cha Packagist walifichua maelezo ya shambulio lililochukua udhibiti wa akaunti za watunzaji wa maktaba 14 za PHP, ikijumuisha vifurushi maarufu kama vile instantiator (usakinishaji milioni 526 kwa jumla, usakinishaji milioni 8 kwa mwezi, vifurushi 323 tegemezi), sql. -formatter (jumla ya usakinishaji 94M, 800K kwa mwezi, vifurushi tegemezi 109), kifurushi cha akiba ya mafundisho (jumla ya usakinishaji 73M, 500K kwa mwezi, vifurushi tegemezi 348) na kigunduzi-kigundua rekodi (jumla ya usakinishaji 20M , elfu 400 kwa mwezi, 66 vifurushi tegemezi).

Baada ya akaunti kuathiriwa, mshambuliaji alirekebisha faili ya mtunzi.json, na kuongeza kwenye uga wa maelezo ya mradi maelezo kwamba alikuwa akitafuta kazi inayohusiana na usalama wa habari. Ili kufanya mabadiliko kwenye faili ya composer.json, mshambulizi alibadilisha URL za hazina asili na kuweka viungo vya uma zilizobadilishwa (Packagist hutoa metadata iliyo na viungo vya miradi iliyotengenezwa kwenye GitHub pekee, wakati wa kusakinisha na "sasisho la mtunzi" au "sasisho la mtunzi. ” amri, vifurushi vinapakuliwa moja kwa moja kutoka GitHub ). Kwa mfano, kwa kifurushi cha acmephp, hazina iliyounganishwa ilibadilishwa kutoka acmephp/acmephp hadi neskafe3v1/acmephp.

Inavyoonekana, shambulio hilo halikufanywa kufanya vitendo viovu, lakini kama onyesho la kutokubalika kwa mtazamo wa kutojali kwa utumiaji wa sifa mbili kwenye tovuti tofauti. Wakati huo huo, kinyume na mazoezi yaliyoanzishwa ya "hacking ya kimaadili", mshambuliaji hakuwajulisha watengenezaji wa maktaba na wasimamizi wa hazina mapema kuhusu jaribio hilo. Baadaye, mshambuliaji huyo alisema baada ya kufanikiwa kupata kazi, angechapisha ripoti ya kina kuhusu mbinu zilizotumiwa katika shambulio hilo.

Kulingana na taarifa iliyotolewa na wasimamizi wa Packagist, akaunti zote zinazosimamia vifurushi vilivyoathiriwa zilitumia manenosiri ya kutumia nguvu kwa urahisi bila kuwezesha uthibitishaji wa mambo mawili. Inadaiwa kuwa akaunti zilizodukuliwa zilitumia nywila ambazo hazikutumiwa tu kwenye Packagist, bali pia katika huduma zingine ambazo hifadhidata zao za siri ziliingiliwa hapo awali na kuwekwa hadharani. Kunasa barua pepe za wamiliki wa akaunti ambao walikuwa wameunganishwa na vikoa ambavyo muda wake wa matumizi umekwisha kunaweza pia kutumika kama chaguo la kupata ufikiaji.

Vifurushi vilivyoathiriwa:

  • acmephp/acmephp (sakinisho 124,860 katika maisha ya kifurushi)
  • acmephp/msingi(419,258)
  • acmephp/ssl (531,692)
  • mafundisho/mafundisho-cache-bundle (73,490,057)
  • moduli ya fundisho/mafundisho (5,516,721)
  • fundisho/fundisho-mongo-odm-moduli (516,441)
  • fundisho/fundisho-kaida-moduli (5,103,306)
  • fundisho/mwanzilishi (526,809,061)
  • kitabu cha ukuaji/kitabu cha ukuaji (97,568
  • jdorn/file-system-cache (32,660)
  • jdorn/sql-formatter (94,593,846)
  • khanamiryan/qrcode-detector-dekoda (20,421,500)
  • object-calisthenics/phpcs-calisthenics-rules (2,196,380)
  • tga/simhash-php, tgalopin/simhashphp (30,555)

Chanzo: opennet.ru

Kuongeza maoni