Packagist软件包存储库的管理员披露了有关攻击的信息,该攻击导致控制了随附的14个PHP库的帐户,包括实例化器(总共526亿次安装,每月8万次安装,323个依赖包)、sql等流行软件包-formatter(总安装量 94 万,每月 800 万,109 个依赖包)、doctrine-cache-bundle(总安装 73 万,每月 500 万,348 个依赖包)和 rcode- detector-decoder(总安装 20 万,每月400万,66个依赖包)。
入侵帐户后,攻击者修改了composer.json文件,在项目描述字段中添加了他正在寻找与信息安全相关的工作的信息。 为了更改composer.json文件,攻击者将原始存储库的URL替换为修改后的分支的链接(Packagist仅提供元数据以及在GitHub上开发的项目的链接;当使用“composer install”或“composer update”进行安装时命令,包直接从 GitHub 下载)。 例如,对于 acmephp 软件包,链接存储库从 acmephp/acmephp 更改为 neskafe3v1/acmephp。
显然,进行这次攻击并不是为了实施恶意行为,而是为了表明对在不同网站上使用重复凭据的粗心态度是不可接受的。 与此同时,与“道德黑客”的既定做法相反,攻击者没有提前通知库开发人员和存储库管理员正在进行的实验。 攻击者随后宣布,在成功获得这份工作后,他将发布有关攻击所用方法的详细报告。
根据 Packagist 管理员发布的数据,所有管理受感染软件包的帐户都使用易于猜测的密码,而没有启用双因素身份验证。 据称,被黑客攻击的账户使用的密码不仅在 Packagist 中使用,而且还用于其他服务,这些服务的密码数据库之前已被泄露并已公开。 捕获链接到过期域的帐户所有者的电子邮件也可以用作获取访问权限的选项。
受损的包:
- acmephp/acmephp(软件包整个生命周期内安装了 124,860 次)
- acmephp/核心 (419,258)
- acmephp/ssl (531,692)
- 学说/学说缓存包 (73,490,057)
- 学说/学说模块 (5,516,721)
- 学说/学说-mongo-odm-模块 (516,441)
- 学说/学说-规范-模块 (5,103,306)
- 学说/实例化 (526,809,061)
- 成长手册/成长手册 (97,568
- jdorn/文件系统缓存 (32,660)
- jdorn/sql 格式化程序 (94,593,846)
- khanamiryan/qrcode 检测器解码器 (20,421,500)
- 对象健美操/phpcs-健美操规则 (2,196,380)
- tga/simhash-php、tgalopin/simhashphp (30,555)
来源: opennet.ru
