Packagist ప్యాకేజీ రిపోజిటరీ నిర్వాహకులు దాడికి సంబంధించిన సమాచారాన్ని బహిర్గతం చేశారు, దానితో పాటుగా ఉన్న 14 PHP లైబ్రరీల ఖాతాల నియంత్రణకు దారితీసింది, వీటిలో ఇన్స్టాంటియేటర్ (మొత్తం 526 మిలియన్ ఇన్స్టాలేషన్లు, నెలకు 8 మిలియన్ ఇన్స్టాలేషన్లు, 323 డిపెండెంట్ ప్యాకేజీలు), sql. -ఫార్మాటర్ (94 మిలియన్ మొత్తం ఇన్స్టాలేషన్లు, నెలకు 800 వేలు, 109 డిపెండెంట్ ప్యాకేజీలు), డాక్ట్రిన్-కాష్-బండిల్ (73 మిలియన్ మొత్తం ఇన్స్టాలేషన్లు, నెలకు 500 వేలు, 348 డిపెండెంట్ ప్యాకేజీలు) మరియు ఆర్కోడ్-డిటెక్టర్-డీకోడర్ (20 మిలియన్ మొత్తం ఇన్స్టాలేషన్లు , నెలకు 400 వేలు, 66 డిపెండెంట్ ప్యాకేజీలు).
ఖాతాలను రాజీ చేసిన తర్వాత, దాడి చేసే వ్యక్తి composer.json ఫైల్ను సవరించాడు, అతను సమాచార భద్రతకు సంబంధించిన ఉద్యోగం కోసం చూస్తున్నట్లు ప్రాజెక్ట్ వివరణ ఫీల్డ్లో సమాచారాన్ని జోడించాడు. Composer.json ఫైల్లో మార్పులు చేయడానికి, దాడి చేసే వ్యక్తి ఒరిజినల్ రిపోజిటరీల యొక్క URLలను సవరించిన ఫోర్క్లకు లింక్లతో భర్తీ చేశాడు (Packagist GitHubలో అభివృద్ధి చేసిన ప్రాజెక్ట్లకు లింక్లతో మెటాడేటాను మాత్రమే అందిస్తుంది; “కంపోజర్ ఇన్స్టాల్” లేదా “కంపోజర్ అప్డేట్”తో ఇన్స్టాల్ చేస్తున్నప్పుడు ఆదేశం, ప్యాకేజీలు నేరుగా GitHub నుండి డౌన్లోడ్ చేయబడతాయి). ఉదాహరణకు, acmephp ప్యాకేజీ కొరకు, లింక్ చేయబడిన రిపోజిటరీ acmephp/acmephp నుండి neskafe3v1/acmephpకి మార్చబడింది.
స్పష్టంగా, దాడి హానికరమైన చర్యలకు పాల్పడటానికి కాదు, కానీ వివిధ సైట్లలో నకిలీ ఆధారాలను ఉపయోగించడం పట్ల అజాగ్రత్త వైఖరి యొక్క ఆమోదయోగ్యతకు నిదర్శనంగా ఉంది. అదే సమయంలో, దాడి చేసే వ్యక్తి, "నైతిక హ్యాకింగ్" యొక్క స్థాపించబడిన అభ్యాసానికి విరుద్ధంగా, లైబ్రరీ డెవలపర్లు మరియు రిపోజిటరీ నిర్వాహకులకు ప్రయోగం గురించి ముందుగానే తెలియజేయలేదు. దాడి చేసిన వ్యక్తి ఉద్యోగం పొందడంలో విజయం సాధించిన తర్వాత, దాడిలో ఉపయోగించిన పద్ధతులపై వివరణాత్మక నివేదికను ప్రచురిస్తానని ప్రకటించాడు.
Packagist నిర్వాహకులు ప్రచురించిన డేటా ప్రకారం, రాజీపడిన ప్యాకేజీలను నిర్వహించే అన్ని ఖాతాలు రెండు-కారకాల ప్రమాణీకరణను ప్రారంభించకుండా సులభంగా ఊహించగలిగే పాస్వర్డ్లను ఉపయోగించాయి. హ్యాక్ చేయబడిన ఖాతాలు ప్యాకేజిస్ట్లోనే కాకుండా ఇతర సేవలలో కూడా ఉపయోగించే పాస్వర్డ్లను ఉపయోగించాయని, వాటి పాస్వర్డ్ డేటాబేస్లు గతంలో రాజీపడి పబ్లిక్గా అందుబాటులోకి వచ్చినట్లు ఆరోపణలు ఉన్నాయి. గడువు ముగిసిన డొమైన్లకు లింక్ చేయబడిన ఖాతా యజమానుల ఇమెయిల్లను క్యాప్చర్ చేయడం కూడా యాక్సెస్ని పొందడానికి ఒక ఎంపికగా ఉపయోగించబడుతుంది.
రాజీపడిన ప్యాకేజీలు:
- acmephp/acmephp (ప్యాకేజీ మొత్తం జీవితానికి 124,860 ఇన్స్టాలేషన్లు)
- acmephp/core (419,258)
- acmephp/ssl (531,692)
- doctrine/doctrine-cache-bundle (73,490,057)
- సిద్ధాంతం/సిద్ధాంతం-మాడ్యూల్ (5,516,721)
- సిద్ధాంతం/సిద్ధాంతం-మోంగో-ఓడిమ్-మాడ్యూల్ (516,441)
- సిద్ధాంతం/సిద్ధాంతం-ఆర్మ్-మాడ్యూల్ (5,103,306)
- సిద్ధాంతం/ఇన్స్టాంటియేటర్ (526,809,061)
- గ్రోత్బుక్/గ్రోత్బుక్ (97,568
- jdorn/file-system-cache (32,660)
- jdorn/sql-formatter (94,593,846)
- ఖనమిరియన్/క్యూఆర్కోడ్-డిటెక్టర్-డీకోడర్ (20,421,500)
- ఆబ్జెక్ట్-కాలిస్థెనిక్స్/phpcs-calisthenics-రూల్స్ (2,196,380)
- tga/simhash-php, tgalopin/simhashphp (30,555)
మూలం: opennet.ru