注意!Packagist 存储库被黑:超过 5 亿次安装的 12 个 PHP 包被盗

包装师

PHP 软件包存储库 Packagist 透露,一名“攻击者”获得了该平台上四个非活动帐户的访问权限,以劫持十几个软件包,迄今为止安装量已超过 5 亿。

“攻击者分叉了每个包,并用他们自己的消息替换了composer.json中的包描述,但没有进行任何恶意更改,”Packagist 的 Nils Adermann。“然后将包 URL 更改为指向分叉的存储库。”

据说这四个用户帐户可以访问总共 14 个包,包括多个 Doctrine 包。事件发生在2023年5月1日,受影响包裹的完整列表如下——

  • acmephp/acmephp
  • acmephp/core
  • acmephp/ssl
  • doctrine/doctrine-cache-bundle
  • doctrine/doctrine-module
  • doctrine/doctrine-mongo-odm-module
  • doctrine/doctrine-orm-module
  • doctrine/instantiator
  • growthbook/growthbook
  • jdorn/file-system-cache
  • jdorn/sql-formatter
  • khanamiryan/qrcode-detector-decoder
  • object-calisthenics/phpcs-calisthenics-rules
  • tga/simhash-php

据安全研究员 Ax Sharma透露,这些更改是由化名“neskafe3v1”的匿名渗透测试人员试图找到一份工作而做出的。

简而言之,攻击链使得将这些软件包中的每一个的 Packagist 页面修改为同名的 GitHub 存储库成为可能,从而有效地改变了 Composer 环境中使用的安装工作流程。

成功利用意味着下载包的开发人员将获得分叉版本,而不是实际内容。

Packagist 表示,没有分发额外的恶意更改,所有帐户都被禁用,他们的软件包已于 2023 年 5 月 2 日恢复。它还敦促用户启用双因素身份验证 (2FA) 以保护他们的帐户。

“所有四个帐户似乎都在使用在其他平台上先前发生的事件中泄露的共享密码,”阿德曼指出。“请不要重复使用密码。”

随着云安全公司 Aqua 确定了数千个暴露的云软件注册表和存储库,其中包含超过 2.5 亿个工件和超过 65,000 个容器映像,这一发展正值此发展之际。

错误配置源于将注册表错误地连接到互联网、设计允许匿名访问、使用默认密码以及向可能被滥用以用恶意代码毒害注册表的用户授予上传权限。

“在其中一些情况下,匿名用户访问允许潜在的攻击者获取敏感信息,例如秘密、密钥和密码,这可能导致严重的软件供应链攻击和软件开发生命周期 (SDLC) 中毒, ”研究人员 Mor Weinberger 和 Assaf Morag上月底透露。

THE END
喜欢就支持一下吧
点赞6539 分享
Blue Yeti 3开箱测评,网红首选的USB麦克风,这是blue性价比最高的一款录音设备 | 零度解说-零度博客

Blue Yeti 3开箱测评,网红首选的USB麦克风,这是blue性价比最高的一款录音设备 | 零度解说

Blue Yeit 3麦克风 :https://amzn.to/2XUCPLs Blue Yeit Nano :https://amzn.to/3dD1LOt 我们使用的拍摄器材 佳能 Canon 80D :https://amzn.to/3dD1LOt 相机三脚架 : https://amzn.to/2ZZp2...
Windows  11 最新版 Moment 5正式发布!附官方下载链接-零度博客

Windows 11 最新版 Moment 5正式发布!附官方下载链接

Windows 11 Moment 5 更新现已正式发布,其中包含大量的功能升级,虽然下一个版本升级 24H2 仍在开发中,但 Moment 5 为你提供了不错的实用的功能升级和对原生应用的改进。 您可以前往'设置'>...
admin的头像-零度博客admin
2.3W+2176
解决Windows 10痛点的五大免费软件,你一定要知道!-零度博客

解决Windows 10痛点的五大免费软件,你一定要知道!

BAT创建加密的虚拟硬盘   点击下载-无密版成品 点击下载-加密版成品  (密码是:lingdu) 重要提醒:如果要修改盘符D,只需在下面代码中更改前2个D ,千万不要修改第3个D,否则会出现...
Windows 11 支持的英特尔处理器-零度博客

Windows 11 支持的英特尔处理器

支持升级安装到windows 11的英特尔CPU 列表: Intel® Atom® x6200FE Intel® Atom® x6211E Intel® Atom® x6212RE Intel® Atom® x6413E Intel® Atom® x6414RE Intel® Atom® x6425E In...
Chrome OS 双系统安装教程!-零度博客

Chrome OS 双系统安装教程!

CloudReady : 【点击下载】 恢复工具 : 【点击下载】 Refind下载+安装教程 : 【点击前往】   https://youtu.be/HgVbViHbmzU
免费使用 Office 全家桶办公软件!支持XP、 win7、8、10、11-零度博客

免费使用 Office 全家桶办公软件!支持XP、 win7、8、10、11

1. 官方下载+官方补丁: Office Starter 2010官方下载地址: 简体中文在线安装包:http://c2r.microsoft.com/consumerC2R/zh-cn/14.0.4763.1000/setupconsumerc2rolw.exe 繁体中文在线安装包:ht...
admin的头像-零度博客admin
3.9W+1536
C盘爆满怎么办?电脑上的这些文件随便删,释放更多硬盘空间!| 零度解说-零度博客
立即修复!Windows 10 /11 高危漏洞,影响所有启用 IPv6 的系统! | 零度解说-零度博客

立即修复!Windows 10 /11 高危漏洞,影响所有启用 IPv6 的系统! | 零度解说

https://youtu.be/vvGjy8Kodxw   Windows TCP/IP RCE 高危漏洞详情:https://www.freedidi.com/13455.html
DiskGenius 磁盘管理软件 免费版!-零度博客

DiskGenius 磁盘管理软件 免费版!

    DiskGenius 免费版:【点击下载1】、【下载地址2】
admin的头像-零度博客admin
2.1W+1534