注意!Packagist 存储库被黑:超过 5 亿次安装的 12 个 PHP 包被盗

包装师

PHP 软件包存储库 Packagist 透露,一名“攻击者”获得了该平台上四个非活动帐户的访问权限,以劫持十几个软件包,迄今为止安装量已超过 5 亿。

“攻击者分叉了每个包,并用他们自己的消息替换了composer.json中的包描述,但没有进行任何恶意更改,”Packagist 的 Nils Adermann。“然后将包 URL 更改为指向分叉的存储库。”

据说这四个用户帐户可以访问总共 14 个包,包括多个 Doctrine 包。事件发生在2023年5月1日,受影响包裹的完整列表如下——

  • acmephp/acmephp
  • acmephp/core
  • acmephp/ssl
  • doctrine/doctrine-cache-bundle
  • doctrine/doctrine-module
  • doctrine/doctrine-mongo-odm-module
  • doctrine/doctrine-orm-module
  • doctrine/instantiator
  • growthbook/growthbook
  • jdorn/file-system-cache
  • jdorn/sql-formatter
  • khanamiryan/qrcode-detector-decoder
  • object-calisthenics/phpcs-calisthenics-rules
  • tga/simhash-php

据安全研究员 Ax Sharma透露,这些更改是由化名“neskafe3v1”的匿名渗透测试人员试图找到一份工作而做出的。

简而言之,攻击链使得将这些软件包中的每一个的 Packagist 页面修改为同名的 GitHub 存储库成为可能,从而有效地改变了 Composer 环境中使用的安装工作流程。

成功利用意味着下载包的开发人员将获得分叉版本,而不是实际内容。

Packagist 表示,没有分发额外的恶意更改,所有帐户都被禁用,他们的软件包已于 2023 年 5 月 2 日恢复。它还敦促用户启用双因素身份验证 (2FA) 以保护他们的帐户。

“所有四个帐户似乎都在使用在其他平台上先前发生的事件中泄露的共享密码,”阿德曼指出。“请不要重复使用密码。”

随着云安全公司 Aqua 确定了数千个暴露的云软件注册表和存储库,其中包含超过 2.5 亿个工件和超过 65,000 个容器映像,这一发展正值此发展之际。

错误配置源于将注册表错误地连接到互联网、设计允许匿名访问、使用默认密码以及向可能被滥用以用恶意代码毒害注册表的用户授予上传权限。

“在其中一些情况下,匿名用户访问允许潜在的攻击者获取敏感信息,例如秘密、密钥和密码,这可能导致严重的软件供应链攻击和软件开发生命周期 (SDLC) 中毒, ”研究人员 Mor Weinberger 和 Assaf Morag上月底透露。

THE END
喜欢就支持一下吧
点赞6539 分享
Flux.1 生成美图、美女的提示词!需要的收藏-零度博客

Flux.1 生成美图、美女的提示词!需要的收藏

1.提示词 pretty Asian woman was holding the flowers in her hands, Korean Model, real photo style, full body shot. 2.提示词: One girl, long hair, model, white background, white shi...
admin的头像-零度博客admin
4.7W+2193
OpenAI 即将发布 GPT-4.1:多模态模型再升级,新增 Mini 和 Nano 轻量版本-零度博客

OpenAI 即将发布 GPT-4.1:多模态模型再升级,新增 Mini 和 Nano 轻量版本

据科技媒体 The Verge 报道,OpenAI 正在筹备推出全新的多模态人工智能模型 —— GPT-4.1,这将是目前广受关注的 GPT-4o 模型的升级版。据知情人士透露,这一系列新模型可能最快将在下周正式发...
admin的头像-零度博客admin
1.4W+1227
ChatGPT 王炸升级新!无敌的 GPT-4 Turbo上线了, 多模态大整合的 OpenAI 轻松让AI帮你赚钱! | 零度解说-零度博客
完美的文件传输神器!电脑手机互传,不限速!支持 Windows、安卓、iOS、macOS、ipad等全平台-零度博客
警告!Win7/10/11 爆高危漏洞:文件查看即中招,账号易被盗,补丁已出 !-零度博客

警告!Win7/10/11 爆高危漏洞:文件查看即中招,账号易被盗,补丁已出 !

12 月 7 日消息,0patch 团队于 12 月 5 日发布公告,发现 Windows 系统存在一个高危零日漏洞,并推出了非官方修复补丁。漏洞概述该漏洞利用了 NTLM(NT LAN Manager)身份验证协议的缺陷。NTLM...
admin的头像-零度博客admin
1.2W+4374
微软电脑管家,电脑一键优化的首选工具!-零度博客

微软电脑管家,电脑一键优化的首选工具!

微软电脑管家 :【点击下载】    
admin的头像-零度博客admin
2.2W+2178
VidHub- 我遇到的最好用的视频播放器! 支持iOS、Mac、ipad、Apple TV-零度博客

VidHub- 我遇到的最好用的视频播放器! 支持iOS、Mac、ipad、Apple TV

VidHub 提供的一些主要功能包括: - 支持iOS、Mac、Apple TV平台,通过iCloud同步数据 - 支持全面的视频格式,包括.mkv、.avi、.mp4、.mov、.rmvb、.wmv等 - HD、4K、HDR 和各种其他分辨率的高...
admin的头像-零度博客admin
1.6W+1528
一键禁止 Windows 自动更新程序 v1.8-零度博客

一键禁止 Windows 自动更新程序 v1.8

与以前版本的 Windows 相比,Windows 11 和 10 对操作系统更新行为的 UI 控制较少,没有使用控制面板或设置关闭 Windows 更新的选项Windows 11 和 Windows 10 中的应用程序会自动检查更新并安装...
Simple Allow Copy -- 内容复制【白嫖神器】-零度博客

Simple Allow Copy — 内容复制【白嫖神器】

当你在百度文库或CSDN当中想复制一些文字的时候,你会发现绝大部分都是需要登入账号或者会员才可以,   是不是很繁琐。但是这个Simple Allow Copy 插件,无需注册开通会员,就可以直接复制...
admin的头像-零度博客admin
2.4W+2178