注意!Packagist 存储库被黑:超过 5 亿次安装的 12 个 PHP 包被盗

包装师

PHP 软件包存储库 Packagist 透露,一名“攻击者”获得了该平台上四个非活动帐户的访问权限,以劫持十几个软件包,迄今为止安装量已超过 5 亿。

“攻击者分叉了每个包,并用他们自己的消息替换了composer.json中的包描述,但没有进行任何恶意更改,”Packagist 的 Nils Adermann。“然后将包 URL 更改为指向分叉的存储库。”

据说这四个用户帐户可以访问总共 14 个包,包括多个 Doctrine 包。事件发生在2023年5月1日,受影响包裹的完整列表如下——

  • acmephp/acmephp
  • acmephp/core
  • acmephp/ssl
  • doctrine/doctrine-cache-bundle
  • doctrine/doctrine-module
  • doctrine/doctrine-mongo-odm-module
  • doctrine/doctrine-orm-module
  • doctrine/instantiator
  • growthbook/growthbook
  • jdorn/file-system-cache
  • jdorn/sql-formatter
  • khanamiryan/qrcode-detector-decoder
  • object-calisthenics/phpcs-calisthenics-rules
  • tga/simhash-php

据安全研究员 Ax Sharma透露,这些更改是由化名“neskafe3v1”的匿名渗透测试人员试图找到一份工作而做出的。

简而言之,攻击链使得将这些软件包中的每一个的 Packagist 页面修改为同名的 GitHub 存储库成为可能,从而有效地改变了 Composer 环境中使用的安装工作流程。

成功利用意味着下载包的开发人员将获得分叉版本,而不是实际内容。

Packagist 表示,没有分发额外的恶意更改,所有帐户都被禁用,他们的软件包已于 2023 年 5 月 2 日恢复。它还敦促用户启用双因素身份验证 (2FA) 以保护他们的帐户。

“所有四个帐户似乎都在使用在其他平台上先前发生的事件中泄露的共享密码,”阿德曼指出。“请不要重复使用密码。”

随着云安全公司 Aqua 确定了数千个暴露的云软件注册表和存储库,其中包含超过 2.5 亿个工件和超过 65,000 个容器映像,这一发展正值此发展之际。

错误配置源于将注册表错误地连接到互联网、设计允许匿名访问、使用默认密码以及向可能被滥用以用恶意代码毒害注册表的用户授予上传权限。

“在其中一些情况下,匿名用户访问允许潜在的攻击者获取敏感信息,例如秘密、密钥和密码,这可能导致严重的软件供应链攻击和软件开发生命周期 (SDLC) 中毒, ”研究人员 Mor Weinberger 和 Assaf Morag上月底透露。

THE END
喜欢就支持一下吧
点赞6539 分享
UPDF - AI智慧PDF編輯軟體! 具備編輯、翻譯、轉換、OCR、註釋、與PDF進行AI聊天等功能。-零度博客

UPDF – AI智慧PDF編輯軟體! 具備編輯、翻譯、轉換、OCR、註釋、與PDF進行AI聊天等功能。

UPDF 一款专為效率而生的AI智慧PDF編輯軟體! 功能非常齊全! PDF編輯軟體,涵蓋了閱讀、編輯、轉換、註釋、頁面管理、文件保護和線上分享等全方位功能,支援Mac、Windows、iOS和Android多平台使用...
admin的头像-零度博客admin
1.4W+1527
Llama 3.1 最强开源大模型!一键本地部署,支持 Windows、Mac,可离线使用!-零度博客

Llama 3.1 最强开源大模型!一键本地部署,支持 Windows、Mac,可离线使用!

https://youtu.be/nvTQI6d8Gkw ------------------------------------- 🔔 1、Llama 3.1 安装所需Ollama下载:https://www.freedidi.com/13105.html 2、GPT4All 下载:https://www.freedidi.com...
admin的头像-零度博客admin
2.1W+2176
Adobe PhotoShop 最新(beta) Firefly AI 功能-零度博客

Adobe PhotoShop 最新(beta) Firefly AI 功能

  CreativeCloud 最新安装包:【点击下载】   【注意】:注册的时候请选择美国地区,大陆地区请用美国ip代理,就无需绑卡。 如果登录的大陆地区账号,在Adobe Creative Cloud里面先注...
admin的头像-零度博客admin
2.1W+1686
免费白嫖10年 VPS服务器!不限流量,先到先得,可搭建ip代理节点,网站等!| 零度解说-零度博客

免费白嫖10年 VPS服务器!不限流量,先到先得,可搭建ip代理节点,网站等!| 零度解说

https://www.youtube.com/watch?v=vILw9l3c_K4   免费注册链接:https://www.freedidi.com/12795.html
你的电脑也可以挖比特币!挖矿永远都不晚-零度博客
电脑 越用越卡的罪魁祸首! 该如何解决?以下七种方法最好要知道 | 零度解说-零度博客
永久免费使用谷歌云,Google Cloud到期后继续使用的方法!-零度博客

永久免费使用谷歌云,Google Cloud到期后继续使用的方法!

之前分享的视频教程《永久免费申请谷歌云 | 搭建SS,V2ray或trojan来进行上网爽歪歪》中提到,申请谷歌云服务器,你必须要有一张visa的信用卡,就可以申请Google Cloud的300美金一年免费使用。...
Google AI 新的图片搜索方式 :Beetlejuice Beetlejuice (ft. Bob)-零度博客
Z-Library 回归,旨在通过为每个用户提供一个秘密 URL 来避免被查-零度博客

Z-Library 回归,旨在通过为每个用户提供一个秘密 URL 来避免被查

2023年2月12号,盗版电子书网站以独特的域名迎来了用户的回归。   去年秋天,美国司法部指控电子书盗版网站 Z-Library涉嫌侵犯版权、电汇欺诈和洗钱等罪名后,将其推上了暗网。当时,Z-Lib...
admin的头像-零度博客admin
1.3W+6539