Packagist軟體包儲存庫的管理員披露了有關攻擊的信息,該攻擊導致控制了隨附的14個PHP庫的帳戶,包括實例化器(總共526億次安裝,每月8萬次安裝,323個依賴套件)、sql等流行軟體包-formatter(總安裝量94 萬,每月800 萬,109 個依賴套件)、doctrine-cache-bundle(總安裝73 萬,每月500 萬,348 個依賴套件)和rcode- detector-decoder(總安裝20 萬,每月400萬,66個依賴套件)。
入侵帳戶後,攻擊者修改了composer.json文件,在項目描述欄位中添加了他正在尋找與資訊安全相關的工作的資訊。 為了更改composer.json文件,攻擊者將原始儲存庫的URL替換為修改後的分支的連結(Packagist僅提供元資料以及在GitHub上開發的專案的連結;當使用「composer install」或「c omposer update」進行安裝時指令,套件直接從 GitHub 下載)。 例如,對於 acmephp 軟體包,連結儲存庫從 acmephp/acmephp 變更為 neskafe3v1/acmephp。
顯然,進行這次攻擊並不是為了實施惡意行為,而是為了表明對在不同網站上使用重複憑證的粗心態度是不可接受的。 同時,與「道德駭客」的既定做法相反,攻擊者沒有事先通知庫開發人員和儲存庫管理員正在進行的實驗。 攻擊者隨後宣布,在成功獲得這份工作後,他將發布有關攻擊所用方法的詳細報告。
根據 Packagist 管理員發布的數據,所有管理受感染軟體包的帳戶都使用易於猜測的密碼,而沒有啟用雙重認證。 據稱,被駭客攻擊的帳戶使用的密碼不僅在 Packagist 中使用,而且還用於其他服務,這些服務的密碼資料庫之前已洩露並已公開。 捕獲連結到過期網域的帳戶擁有者的電子郵件也可以用作獲取存取權限的選項。
受損的包包:
- acmephp/acmephp(軟體包整個生命週期內安裝了 124,860 次)
- acmephp/核心 (419,258)
- acmephp/ssl (531,692)
- 學說/學說緩存包 (73,490,057)
- 學說/學說模組 (5,516,721)
- 學說/學說-mongo-odm-模組 (516,441)
- 學說/學說-規範-模組 (5,103,306)
- 學說/實例化 (526,809,061)
- 成長手冊/成長手冊 (97,568
- jdorn/檔案系統快取 (32,660)
- jdorn/sql 格式化程式 (94,593,846)
- khanamiryan/qrcode 偵測器解碼器 (20,421,500)
- 對象健身操/phpcs-健身操規則 (2,196,380)
- tga/simhash-php、tgalopin/simhashphp (30,555)
來源: opennet.ru