注意!Packagist 存储库被黑:超过 5 亿次安装的 12 个 PHP 包被盗

包装师

PHP 软件包存储库 Packagist 透露,一名“攻击者”获得了该平台上四个非活动帐户的访问权限,以劫持十几个软件包,迄今为止安装量已超过 5 亿。

“攻击者分叉了每个包,并用他们自己的消息替换了composer.json中的包描述,但没有进行任何恶意更改,”Packagist 的 Nils Adermann。“然后将包 URL 更改为指向分叉的存储库。”

据说这四个用户帐户可以访问总共 14 个包,包括多个 Doctrine 包。事件发生在2023年5月1日,受影响包裹的完整列表如下——

  • acmephp/acmephp
  • acmephp/core
  • acmephp/ssl
  • doctrine/doctrine-cache-bundle
  • doctrine/doctrine-module
  • doctrine/doctrine-mongo-odm-module
  • doctrine/doctrine-orm-module
  • doctrine/instantiator
  • growthbook/growthbook
  • jdorn/file-system-cache
  • jdorn/sql-formatter
  • khanamiryan/qrcode-detector-decoder
  • object-calisthenics/phpcs-calisthenics-rules
  • tga/simhash-php

据安全研究员 Ax Sharma透露,这些更改是由化名“neskafe3v1”的匿名渗透测试人员试图找到一份工作而做出的。

简而言之,攻击链使得将这些软件包中的每一个的 Packagist 页面修改为同名的 GitHub 存储库成为可能,从而有效地改变了 Composer 环境中使用的安装工作流程。

成功利用意味着下载包的开发人员将获得分叉版本,而不是实际内容。

Packagist 表示,没有分发额外的恶意更改,所有帐户都被禁用,他们的软件包已于 2023 年 5 月 2 日恢复。它还敦促用户启用双因素身份验证 (2FA) 以保护他们的帐户。

“所有四个帐户似乎都在使用在其他平台上先前发生的事件中泄露的共享密码,”阿德曼指出。“请不要重复使用密码。”

随着云安全公司 Aqua 确定了数千个暴露的云软件注册表和存储库,其中包含超过 2.5 亿个工件和超过 65,000 个容器映像,这一发展正值此发展之际。

错误配置源于将注册表错误地连接到互联网、设计允许匿名访问、使用默认密码以及向可能被滥用以用恶意代码毒害注册表的用户授予上传权限。

“在其中一些情况下,匿名用户访问允许潜在的攻击者获取敏感信息,例如秘密、密钥和密码,这可能导致严重的软件供应链攻击和软件开发生命周期 (SDLC) 中毒, ”研究人员 Mor Weinberger 和 Assaf Morag上月底透露。

THE END
喜欢就支持一下吧
点赞6539 分享
相关推荐
对 FTX 窃贼的追捕已经开始-零度博客

对 FTX 窃贼的追捕已经开始

就在 FTX 倒闭之际,神秘的骗子从 FTX 手中夺走了数亿美元。加密货币追踪区块链分析可能会提供答案。   加密货币一直为任何试图窃取它的人提供了一种奇怪的诱惑和挑战组合。作为数字现金,...
admin的头像-零度博客admin
1.6W+2250
零度解说:最真实的干货分享,你想知道的,统统告诉你!-零度博客

零度解说:最真实的干货分享,你想知道的,统统告诉你!

  1.检测IP是否安全:【点击进入】 2.我的录屏软件:【官方下载】 0:00 视频简介 0:12 vps上搭建 chatGPT、AI视频生成 0:51 零度博客是怎么搭建的 1:13 AI 网站推荐 1:35 AI克隆人声 2:21 ...
admin的头像-零度博客admin
1.7W+1682
DeepSeek 核心研发者竟是“95后天才少女”罗福莉,来自农村,家境贫寒!-零度博客

DeepSeek 核心研发者竟是“95后天才少女”罗福莉,来自农村,家境贫寒!

近日,国产 AI 大模型 DeepSeek 备受瞩目,而其核心研发者之一竟是一位 95 后天才少女——罗福莉。更令人惊讶的是,她来自农村,家境贫寒,却凭借卓越的才华和不懈努力,在人工智能领域崭露头角...
最好的虚拟机软件,支持Win11/Win10/MacOS/Ubuntu等系统/软件多开,附最新安装教程! | 零度解说-零度博客
破解电脑开机密码!当你忘记电脑登入密码的时候,用这两种方法即可搞定!适合 win11/win10 系统 | 零度解说-零度博客

破解电脑开机密码!当你忘记电脑登入密码的时候,用这两种方法即可搞定!适合 win11/win10 系统 | 零度解说

https://youtu.be/p6FqRtr6VEQ?si=XU9btx8mW4Tog25u =========== Windows 11开机密码破解;https://www.youtube.com/watch?v=p6FqRtr6VEQ windows 10 开机密码破解:https://youtu.be/p6FqRtr6V...
admin的头像-零度博客admin
1.7W+1682
5款【神级软件】推荐! 绝对让你相见恨晚,免费开源,吊打付费!提高效率、瞬间起飞!!  | 零度解说-零度博客
回答大家感兴趣的:AI、软件推荐、视频去码、网络安全、语音识别、暗网、Google 搜索技巧等.... | 零度解说-零度博客

回答大家感兴趣的:AI、软件推荐、视频去码、网络安全、语音识别、暗网、Google 搜索技巧等…. | 零度解说

https://youtu.be/KqrS8JApeXg   MuseV 虚拟数字人视频生成AI工具,一键整合包:https://www.freedidi.com/12271.html Llama3 大模型本地部署:https://www.freedidi.com/12189.html Strea...
小心了:Win10/11激活软件KMSPico被黑客植入后门! 盗窃数字钱包 | 零度解说-零度博客
你的硬盘还能用几年?这3种检测方法可以告诉你答案!-零度博客