注意!Packagist 存储库被黑:超过 5 亿次安装的 12 个 PHP 包被盗

包装师

PHP 软件包存储库 Packagist 透露,一名“攻击者”获得了该平台上四个非活动帐户的访问权限,以劫持十几个软件包,迄今为止安装量已超过 5 亿。

“攻击者分叉了每个包,并用他们自己的消息替换了composer.json中的包描述,但没有进行任何恶意更改,”Packagist 的 Nils Adermann。“然后将包 URL 更改为指向分叉的存储库。”

据说这四个用户帐户可以访问总共 14 个包,包括多个 Doctrine 包。事件发生在2023年5月1日,受影响包裹的完整列表如下——

  • acmephp/acmephp
  • acmephp/core
  • acmephp/ssl
  • doctrine/doctrine-cache-bundle
  • doctrine/doctrine-module
  • doctrine/doctrine-mongo-odm-module
  • doctrine/doctrine-orm-module
  • doctrine/instantiator
  • growthbook/growthbook
  • jdorn/file-system-cache
  • jdorn/sql-formatter
  • khanamiryan/qrcode-detector-decoder
  • object-calisthenics/phpcs-calisthenics-rules
  • tga/simhash-php

据安全研究员 Ax Sharma透露,这些更改是由化名“neskafe3v1”的匿名渗透测试人员试图找到一份工作而做出的。

简而言之,攻击链使得将这些软件包中的每一个的 Packagist 页面修改为同名的 GitHub 存储库成为可能,从而有效地改变了 Composer 环境中使用的安装工作流程。

成功利用意味着下载包的开发人员将获得分叉版本,而不是实际内容。

Packagist 表示,没有分发额外的恶意更改,所有帐户都被禁用,他们的软件包已于 2023 年 5 月 2 日恢复。它还敦促用户启用双因素身份验证 (2FA) 以保护他们的帐户。

“所有四个帐户似乎都在使用在其他平台上先前发生的事件中泄露的共享密码,”阿德曼指出。“请不要重复使用密码。”

随着云安全公司 Aqua 确定了数千个暴露的云软件注册表和存储库,其中包含超过 2.5 亿个工件和超过 65,000 个容器映像,这一发展正值此发展之际。

错误配置源于将注册表错误地连接到互联网、设计允许匿名访问、使用默认密码以及向可能被滥用以用恶意代码毒害注册表的用户授予上传权限。

“在其中一些情况下,匿名用户访问允许潜在的攻击者获取敏感信息,例如秘密、密钥和密码,这可能导致严重的软件供应链攻击和软件开发生命周期 (SDLC) 中毒, ”研究人员 Mor Weinberger 和 Assaf Morag上月底透露。

THE END
喜欢就支持一下吧
点赞6539 分享
Windows 11 是否真的值得升级? 这9个原因看完再做决定!| 零度解说-零度博客
永久免费使用 Google 云服务器! GCP  白嫖系列!-零度博客

永久免费使用 Google 云服务器! GCP 白嫖系列!

Google 之前宣布的一项政策,为标准层级的网络提供每地域200G的免费流量。两项政策结合,可以得到一台1核心、1G内存、30G磁盘、200G流量的小云服务器,可玩性更高。接下来给大家演示下如何正确...
admin的头像-零度博客admin
6.3W+1709
MIT天体物理学正在寻找暗物质的踪迹-零度博客

MIT天体物理学正在寻找暗物质的踪迹

麻省理工学院(MIT)的粒子物理学家Kerstin Perez正在寻找暗物质的踪迹。这种看不见的物质体现了宇宙中84%的物质,并被认为是一种强大的宇宙“胶水”,使整个星系不至于旋转分离。然而,这些粒...
admin的头像-零度博客admin
1.6W+2251
MacType 让你的Window字体跟Mac一样好看!-零度博客

MacType 让你的Window字体跟Mac一样好看!

MacType是一个开源项目,能接管Windows系统的GDI字体渲染功能, 实现比Mac系统更华丽的字体渲染效果! MacType支持WinXP、Win7、Win8、Win10等操作系统。 安装过程十分简单,到最后,它才会让我...
admin的头像-零度博客admin
1.9W+2251
Claude 正式推出桌面客户端! 支持Windows 10/11 和 Mac-零度博客

Claude 正式推出桌面客户端! 支持Windows 10/11 和 Mac

由人工智能技术开发商 Anthropic 推出的 Claude 应用现已在电脑桌面、移动端提供客户端支持,官方声称:速度更快,更专业便捷!Claude 桌面客户端兼容 Windows 10/11 和 Mac 设备,整体体验与网...
admin的头像-零度博客admin
1.5W+3464
6600XT 显卡终于免驱黑苹果,真香!性价比超高 | 零度解说-零度博客
Windows 10  LTSC 长期服务版!免费下载、安装并激活教程,超级流畅!  | 零度解说-零度博客

Windows 10 LTSC 长期服务版!免费下载、安装并激活教程,超级流畅! | 零度解说

https://youtu.be/tz3jM6UoDWo   【零度会员】▶https://www.freedidi.com/2454.html 【油管会员】▶https://www.youtube.com/channel/UCvijahEyGtvMpmMHBu4FS2w/join —————————...
admin的头像-零度博客admin
2.1W+2232
最新可用的【免费域名】注册教程!无需实名验证,不需要信用卡-零度博客

最新可用的【免费域名】注册教程!无需实名验证,不需要信用卡

  1.免费注册域名:【链接直达】 2.免费容器:【点击打开】 3.VPS 推荐:【链接直达】 4.一键安装网站服务器环境,有2种简单方案: a). lnmp wget http://soft.vpser.net/lnmp/lnmp2.0.ta...
admin的头像-零度博客admin
1.9W+1684
DynaVision XL 专为绘制3D卡通IP而设计的模型,它能够制作出精美细腻、色彩丰富的3D卡通角色 !推荐NO.4-零度博客

DynaVision XL 专为绘制3D卡通IP而设计的模型,它能够制作出精美细腻、色彩丰富的3D卡通角色 !推荐NO.4

DynaVision XL:专为绘制3D卡通IP而设计的模型,它能够制作出精美细腻、色彩丰富的3D卡通角色。对于那些希望绘制3D卡通IP的小伙伴来说,这款模型是必备的工具。 【点击下载】 DynaVision XL 模...
admin的头像-零度博客admin
1.7W+1682