Маъмурони анбори бастаи Packagist маълумотро дар бораи ҳамла ошкор карданд, ки дар натиҷа ҳисобҳои 14 китобхонаи ҳамроҳи PHP, аз ҷумла бастаҳои маъмул, ба монанди инстантиатор (дар маҷмӯъ 526 миллион насб, 8 миллион насб дар як моҳ, 323 бастаҳои вобаста), sql -форматор (94 миллион насби умумӣ, 800 ҳазор дар як моҳ, 109 бастаи вобаста), doctrine-cache-bundle (73 миллион насби умумӣ, 500 ҳазор дар як моҳ, 348 бастаи вобаста) ва rcode-detektor-decoder (20 миллион насби умумӣ, 400 ҳазор дар як моҳ, 66 бастаи вобаста).
Пас аз вайрон кардани ҳисобҳо, ҳамлакунанда файли composer.json-ро тағир дода, дар майдони тавсифи лоиҳа маълумот илова кард, ки ӯ дар ҷустуҷӯи кори марбут ба амнияти иттилоотӣ буд. Барои ворид кардани тағирот ба файли composer.json, ҳамлакунанда URL-и анборҳои аслиро бо истинод ба форкҳои тағирёфта иваз кард (Packagist танҳо метамаълумотро бо истинод ба лоиҳаҳои дар GitHub таҳияшуда таъмин мекунад; ҳангоми насб бо "навсозии композитор" ё "навсозии оҳангсоз" фармон, бастаҳо бевосита аз GitHub зеркашӣ карда мешаванд). Масалан, барои бастаи acmephp, анбори алоқаманд аз acmephp/acmephp ба neskafe3v1/acmephp иваз карда шуд.
Аз афташ, ин ҳамла на барои содир кардани амалҳои бадқасдона, балки ҳамчун намоиши номатлуб будани муносибати беэҳтиётона нисбат ба истифодаи маълумоти такрорӣ дар сайтҳои гуногун сурат гирифтааст. Ҳамзамон, ҳамлагар бар хилофи таҷрибаи муқарраршудаи "хакерии ахлоқӣ", таҳиягарон ва маъмурони анборҳоро дар бораи озмоиши гузаронидашуда пешакӣ огоҳ накардааст. Ҳамлагар баъдан эълом кард, ки пас аз муваффақ шудан ба ин кор, гузориши муфассалеро дар бораи шеваҳои истифодашуда дар ҳамла нашр хоҳад кард.
Тибқи маълумоте, ки маъмурони Packagist нашр кардааст, ҳама ҳисобҳое, ки бастаҳои осебдидаро идора мекарданд, паролҳои ба осонӣ тахминшавандаро бидуни имкон додани аутентификатсияи ду-омил истифода мекарданд. Гуфта мешавад, ки ҳисобҳои ҳакершуда паролҳоеро истифода кардаанд, ки на танҳо дар Packagist, балки дар дигар хадамот низ истифода мешуданд, ки махзани гузарвожаҳои онҳо қаблан осеб дида ва дастраси умум гардидаанд. Гирифтани почтаи электронии соҳибони ҳисобҳо, ки ба доменҳои мӯҳлаташон гузашта алоқаманданд, инчунин метавонанд ҳамчун як вариант барои дастрасӣ истифода шаванд.
Бастаҳои вайроншуда:
- acmephp/acmephp (124,860 насб дар тӯли тамоми мӯҳлати баста)
- acmephp/core (419,258)
- acmephp/ssl (531,692)
- doctrine/doctrine-cache-bundle (73,490,057)
- доктрина/доктрина-модул (5,516,721)
- доктрина/доктрина-монго-одм-модули (516,441)
- доктрина/доктрина-орм-модул (5,103,306)
- таълимот/бароваранда (526,809,061)
- Китоби афзоиш/китоби афзоиш (97,568
- jdorn/file-system-cache (32,660)
- jdorn/sql-formatter (94,593,846)
- khanamiryan/qrcode-детектор-декодер (20,421,500)
- Object-calisthenics/phpcs-calisthenics-қоидаҳои (2,196,380)
- tga/simhash-php, tgalopin/simhashphp (30,555)
Манбаъ: opennet.ru