注意!Packagist 存储库被黑:超过 5 亿次安装的 12 个 PHP 包被盗

包装师

PHP 软件包存储库 Packagist 透露,一名“攻击者”获得了该平台上四个非活动帐户的访问权限,以劫持十几个软件包,迄今为止安装量已超过 5 亿。

“攻击者分叉了每个包,并用他们自己的消息替换了composer.json中的包描述,但没有进行任何恶意更改,”Packagist 的 Nils Adermann。“然后将包 URL 更改为指向分叉的存储库。”

据说这四个用户帐户可以访问总共 14 个包,包括多个 Doctrine 包。事件发生在2023年5月1日,受影响包裹的完整列表如下——

  • acmephp/acmephp
  • acmephp/core
  • acmephp/ssl
  • doctrine/doctrine-cache-bundle
  • doctrine/doctrine-module
  • doctrine/doctrine-mongo-odm-module
  • doctrine/doctrine-orm-module
  • doctrine/instantiator
  • growthbook/growthbook
  • jdorn/file-system-cache
  • jdorn/sql-formatter
  • khanamiryan/qrcode-detector-decoder
  • object-calisthenics/phpcs-calisthenics-rules
  • tga/simhash-php

据安全研究员 Ax Sharma透露,这些更改是由化名“neskafe3v1”的匿名渗透测试人员试图找到一份工作而做出的。

简而言之,攻击链使得将这些软件包中的每一个的 Packagist 页面修改为同名的 GitHub 存储库成为可能,从而有效地改变了 Composer 环境中使用的安装工作流程。

成功利用意味着下载包的开发人员将获得分叉版本,而不是实际内容。

Packagist 表示,没有分发额外的恶意更改,所有帐户都被禁用,他们的软件包已于 2023 年 5 月 2 日恢复。它还敦促用户启用双因素身份验证 (2FA) 以保护他们的帐户。

“所有四个帐户似乎都在使用在其他平台上先前发生的事件中泄露的共享密码,”阿德曼指出。“请不要重复使用密码。”

随着云安全公司 Aqua 确定了数千个暴露的云软件注册表和存储库,其中包含超过 2.5 亿个工件和超过 65,000 个容器映像,这一发展正值此发展之际。

错误配置源于将注册表错误地连接到互联网、设计允许匿名访问、使用默认密码以及向可能被滥用以用恶意代码毒害注册表的用户授予上传权限。

“在其中一些情况下,匿名用户访问允许潜在的攻击者获取敏感信息,例如秘密、密钥和密码,这可能导致严重的软件供应链攻击和软件开发生命周期 (SDLC) 中毒, ”研究人员 Mor Weinberger 和 Assaf Morag上月底透露。

THE END
喜欢就支持一下吧
点赞6539 分享
相关推荐
强烈推荐:这7款神级软件! 绝对让你相见恨晚,免费开源,简直太香了-零度博客

强烈推荐:这7款神级软件! 绝对让你相见恨晚,免费开源,简直太香了

https://youtu.be/srWYZTrHwtc   1、Watt Toolkit网络加速器下载:https://www.freedidi.com/13831.html 2、Umi-OCR 图文识别:https://www.freedidi.com/13846.html 3、NDM:可以媲美IDM...
屌爆了!一键提速400%,堪称 Windows 10/11 系统的神优化!居然是真的  |  零度解说-零度博客

屌爆了!一键提速400%,堪称 Windows 10/11 系统的神优化!居然是真的 | 零度解说

https://youtu.be/DO8HZ6_pWqI ================ 卓越性能代码+打开方式:https://www.freedidi.com/1241.html
随着仇恨泛滥,大量大广告商在 Twitter 上大打出手-零度博客

随着仇恨泛滥,大量大广告商在 Twitter 上大打出手

一份新报告称,超过三分之一的 Twitter 最大广告商现在已经从该平台撤下了他们的广告,因为新所有者不稳定和不可预测的性质,加上他对仇恨的含蓄鼓励,使得该网站越来越不欢迎有钱花的品牌。 根...
admin的头像-零度博客admin
1.6W+1091
OpenAI Sora 视频生成,看完要睡不着了......  | 零度解说-零度博客
Windows 11(24H2)正式版! 最新官方升级教程,硬件不达标也能安装 | 零度解说-零度博客

Windows 11(24H2)正式版! 最新官方升级教程,硬件不达标也能安装 | 零度解说

https://youtu.be/nQdMHPWXHwk   Windows 11 24H2 正式版下载:https://www.freedidi.com/15003.html
排名前五的免费视频编辑软件,视频剪辑必备工具!(2021)-零度博客

排名前五的免费视频编辑软件,视频剪辑必备工具!(2021)

https://youtu.be/qnsO7M6eZjo 安全VPN推荐(排名前3):1.ExpressVPN:http://bit.ly/38fO0Va2.NordVPN:https://bit.ly/31EGtfA3.Surfshark :https://bit.ly/3jTYBcl======================...
最佳安全的免费VPN,无流量限制,速度超快!军事级加密,ProtonVPN-零度博客

最佳安全的免费VPN,无流量限制,速度超快!军事级加密,ProtonVPN

  【友情提醒】:部分国家地区需要先挂梯子再登入,登入后再断开梯子,就可以愉快的无限流量使用了!速度超级的快!!! 主要亮点: 免费数据不限用量,没有广告 24 台免费服务器覆盖 3 个...
admin的头像-零度博客admin
2.1W+1530
如何检测安卓应用是否安全?是否存在后门!这两个网站帮你轻松搞定!| 零度解说-零度博客
如何在 Windows 11 上安装谷歌 Google Play 应用商店 ,让安卓子系统更加好用!| 零度解说-零度博客