Packagist தொகுப்பு களஞ்சியத்தின் நிர்வாகிகள், 14 PHP நூலகங்களின் பராமரிப்பாளர்களின் கணக்குகளைக் கட்டுப்படுத்தும் தாக்குதலின் விவரங்களை வெளிப்படுத்தினர், இதில் இன்ஸ்டன்டியேட்டர் (மொத்தம் 526 மில்லியன் நிறுவல்கள், மாதத்திற்கு 8 மில்லியன் நிறுவல்கள், 323 சார்ந்த தொகுப்புகள்), sql -ஃபார்மேட்டர் (மொத்தம் 94M நிறுவல்கள், ஒரு மாதத்தில் 800K, 109 சார்ந்த தொகுப்புகள்), doctrine-cache-bundle (மொத்தம் 73M, ஒரு மாதத்தில் 500K, 348 சார்ந்த தொகுப்புகள்) மற்றும் rcode-detector-decoder (மொத்தம் 20M நிறுவல்கள், 400 மாதம் ஆயிரம், 66 சார்ந்த தொகுப்புகள்).
கணக்குகள் சமரசம் செய்யப்பட்ட பிறகு, தாக்குபவர் composer.json கோப்பை மாற்றியமைத்தார், திட்ட விளக்கப் புலத்தில் தகவல் பாதுகாப்பு தொடர்பான வேலையைத் தேடுகிறார் என்ற தகவலைச் சேர்த்தார். Composer.json கோப்பில் மாற்றத்தை ஏற்படுத்த, தாக்குபவர் அசல் களஞ்சியங்களின் URLகளை மாற்றியமைக்கப்பட்ட ஃபோர்க்குகளுக்கான இணைப்புகளுடன் மாற்றினார் (“இசையமைப்பாளர் நிறுவல்” அல்லது “இசையமைப்பாளர் புதுப்பிப்பை நிறுவும் போது, GitHub இல் உருவாக்கப்பட்ட திட்டங்களுக்கான இணைப்புகளுடன் பேக்கேஜிஸ்ட் மெட்டாடேட்டாவை மட்டுமே வழங்குகிறது. ” கட்டளை, தொகுப்புகள் GitHub இலிருந்து நேரடியாக பதிவிறக்கம் செய்யப்படுகின்றன ). எடுத்துக்காட்டாக, acmephp தொகுப்பிற்கு, இணைக்கப்பட்ட களஞ்சியம் acmephp/acmephp இலிருந்து neskafe3v1/acmephp க்கு மாற்றப்பட்டது.
வெளிப்படையாக, தாக்குதல் தீங்கிழைக்கும் செயல்களைச் செய்வதற்காக நடத்தப்படவில்லை, ஆனால் வெவ்வேறு தளங்களில் நகல் நற்சான்றிதழ்களைப் பயன்படுத்துவதில் கவனக்குறைவான அணுகுமுறையின் ஏற்றுக்கொள்ள முடியாத தன்மையை நிரூபிக்கிறது. அதே நேரத்தில், நிறுவப்பட்ட "நெறிமுறை ஹேக்கிங்" நடைமுறைக்கு மாறாக, தாக்குபவர் நூலக உருவாக்குநர்கள் மற்றும் களஞ்சிய நிர்வாகிகளுக்கு சோதனை குறித்து முன்கூட்டியே தெரிவிக்கவில்லை. பின்னர், தாக்குதலாளி தனக்கு வேலை கிடைத்த பிறகு, தாக்குதலில் பயன்படுத்தப்பட்ட முறைகள் குறித்த விரிவான அறிக்கையை வெளியிடுவேன் என்று கூறினார்.
Packagist நிர்வாகிகளால் வெளியிடப்பட்ட தகவல்களின்படி, சமரசம் செய்யப்பட்ட தொகுப்புகளை நிர்வகிக்கும் அனைத்து கணக்குகளும் இரு காரணி அங்கீகாரத்தை செயல்படுத்தாமல் எளிதாக-முரட்டுத்தனமான கடவுச்சொற்களைப் பயன்படுத்துகின்றன. ஹேக் செய்யப்பட்ட கணக்குகள் பேக்கேஜிஸ்டில் மட்டும் பயன்படுத்தப்பட்ட கடவுச்சொற்களைப் பயன்படுத்தியதாகக் கூறப்படுகிறது, ஆனால் கடவுச்சொல் தரவுத்தளங்கள் முன்பு சமரசம் செய்யப்பட்டு பகிரங்கப்படுத்தப்பட்ட பிற சேவைகளிலும் பயன்படுத்தப்பட்டது. காலாவதியான டொமைன்களுடன் இணைக்கப்பட்டுள்ள கணக்கு வைத்திருப்பவர்களின் மின்னஞ்சல்களைப் படம்பிடிப்பதும் அணுகலைப் பெறுவதற்கான ஒரு விருப்பமாகப் பயன்படுத்தப்படலாம்.
சமரசம் செய்யப்பட்ட தொகுப்புகள்:
- acmephp/acmephp (தொகுப்பின் வாழ்நாளில் 124,860 நிறுவல்கள்)
- acmephp/core(419,258)
- acmephp/ssl (531,692)
- doctrine/doctrine-cache-bundle (73,490,057)
- கோட்பாடு/கோட்பாடு-தொகுதி (5,516,721)
- doctrine/doctrine-mongo-odm-module (516,441)
- doctrine/doctrine-orm-module (5,103,306)
- கோட்பாடு/உறுதியாளர் (526,809,061)
- வளர்ச்சி புத்தகம்/வளர்ச்சி புத்தகம் (97,568
- jdorn/file-system-cache (32,660)
- jdorn/sql-formatter (94,593,846)
- கானமிரியன்/qrcode-detector-decoder (20,421,500)
- object-calisthenics/phpcs-calisthenics-rules (2,196,380)
- tga/simhash-php, tgalopin/simhashphp (30,555)
ஆதாரம்: opennet.ru