Ang mga administrator ng Packagist package repository ay nagsiwalat ng impormasyon tungkol sa isang pag-atake na nagresulta sa kontrol ng mga account ng kasamang 14 na PHP library, kabilang ang mga sikat na package gaya ng instantiator (526 million installations sa kabuuan, 8 million installations per month, 323 dependent packages), sql -formatter (94 milyong kabuuang mga pag-install, 800 libo bawat buwan, 109 na nakadepende na mga pakete), doktrina-cache-bundle (73 milyong kabuuang mga pag-install, 500 libo bawat buwan, 348 umaasa na mga pakete) at rcode-detector-decoder (20 milyong kabuuang mga pag-install , 400 libo bawat buwan, 66 na nakadependeng pakete).
Pagkatapos ikompromiso ang mga account, binago ng attacker ang composer.json file, nagdagdag ng impormasyon sa field ng paglalarawan ng proyekto na naghahanap siya ng trabahong nauugnay sa seguridad ng impormasyon. Upang gumawa ng mga pagbabago sa composer.json file, pinalitan ng attacker ang mga URL ng orihinal na repository ng mga link sa binagong mga fork (Ang Packagist ay nagbibigay lamang ng metadata na may mga link sa mga proyektong binuo sa GitHub; kapag nag-i-install gamit ang "composer install" o "composer update" command, ang mga pakete ay direktang dina-download mula sa GitHub ). Halimbawa, para sa acmephp package, ang naka-link na repositoryo ay binago mula sa acmephp/acmephp patungong neskafe3v1/acmephp.
Tila, ang pag-atake ay isinagawa hindi upang gumawa ng mga malisyosong aksyon, ngunit bilang isang pagpapakita ng hindi katanggap-tanggap ng isang walang ingat na saloobin sa paggamit ng mga duplicate na kredensyal sa iba't ibang mga site. Kasabay nito, ang umaatake, salungat sa itinatag na kasanayan ng "etikal na pag-hack," ay hindi nag-abiso nang maaga sa mga developer ng library at mga administrador ng repositoryo tungkol sa isinasagawang eksperimento. Nang maglaon ay inanunsyo ng umaatake na pagkatapos niyang magtagumpay sa pagkuha ng trabaho, maglalathala siya ng detalyadong ulat sa mga pamamaraang ginamit sa pag-atake.
Ayon sa data na inilathala ng mga administrator ng Packagist, lahat ng account na namamahala sa mga nakompromisong package ay gumamit ng mga password na madaling hulaan nang hindi pinapagana ang two-factor authentication. Sinasabing ang mga na-hack na account ay gumagamit ng mga password na ginamit hindi lamang sa Packagist, kundi pati na rin sa iba pang mga serbisyo, ang mga database ng password na dati ay nakompromiso at naging available sa publiko. Ang pagkuha ng mga email ng mga may-ari ng account na naka-link sa mga nag-expire na domain ay maaari ding gamitin bilang isang opsyon upang makakuha ng access.
Mga nakompromisong pakete:
- acmephp/acmephp (124,860 na pag-install para sa buong buhay ng package)
- acmephp/core (419,258)
- acmephp/ssl (531,692)
- doktrina/doctrine-cache-bundle (73,490,057)
- doktrina/doctrine-module (5,516,721)
- doktrina/doktrina-mongo-odm-module (516,441)
- doktrina/doctrine-orm-module (5,103,306)
- doktrina/instantiator (526,809,061)
- growthbook/growthbook (97,568
- jdorn/file-system-cache (32,660)
- jdorn/sql-formatter (94,593,846)
- khanamiryan/qrcode-detector-decoder (20,421,500)
- object-calisthenics/phpcs-calisthenics-rules (2,196,380)
- tga/simhash-php, tgalopin/simhashphp (30,555)
Pinagmulan: opennet.ru