The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Перехвачен контроль над 14 PHP-библиотеками в репозитории Packagist

04.05.2023 09:30

Администраторы репозитория пакетов Packagist раскрыли сведения об атаке, в результате которой был захвачен контроль над учётными записями сопровождающих 14 PHP-библиотек, в числе которых такие популярные пакеты, как instantiator (526 млн установок всего, 8 млн установок за месяц, 323 зависимых пакета), sql-formatter (94 млн установок всего, 800 тысяч за месяц, 109 зависимых пакетов), doctrine-cache-bundle (73 млн установок всего, 500 тысяч за месяц, 348 зависимых пакетов) и rcode-detector-decoder (20 млн установок всего, 400 тысяч за месяц, 66 зависимых пакетов).

После компрометации учётных записей атакующий изменил файл composer.json, добавив в поле с описанием проекта информацию том, что он ищет работу, связанную с информационной безопасностью. Для внесения изменения в файл composer.json атакующий заменил URL оригинальных репозиториев ссылками на модифицированные форки (в Packagist предоставляются только метаданные со ссылками на проекты, развиваемые на GitHub, при выполнении установки командой "composer install" или "composer update" пакеты загружаются напрямую с GitHub). Например, для пакета acmephp привязанный репозиторий был заменён с acmephp/acmephp на neskafe3v1/acmephp.

Судя по всему атака была произведена не для совершения вредоносных действий, а в качестве демонстрации недопустимости беспечного отношения к использованию повторяющихся учётных данных на разных сайтах. При этом атакующий вопреки сложившейся практике "этических взломов" заранее не уведомил разработчиков библиотек и администраторов репозитория о проводимом эксперименте. Позднее атакующий сообщил, что после того как ему удастся получить работу он опубликует детальный отчёт об использованных в атаке методах.

По опубликованным администраторами Packagist данным, во всех учётных записях, управлявших скомпрометированными пакетами, использовались простые для подбора пароли без включения двухфакторной аутентификации. Утверждается, что во взломанных учётных записях использовались пароли, применявшиеся не только в Packagist, но и в других сервисах, базы паролей которых были ранее скомпрометированы и попали в публичный доступ. Как вариант получения доступа также мог использоваться захват email владельцев учётных записей, которые были привязаны к просроченным доменам.

Скомпрометированные пакеты:

  • acmephp/acmephp (124,860 установок за всё время существования пакета)
  • acmephp/core (419,258)
  • acmephp/ssl (531,692)
  • doctrine/doctrine-cache-bundle (73,490,057)
  • doctrine/doctrine-module (5,516,721)
  • doctrine/doctrine-mongo-odm-module (516,441)
  • doctrine/doctrine-orm-module (5,103,306)
  • doctrine/instantiator (526,809,061)
  • growthbook/growthbook (97,568
  • jdorn/file-system-cache (32,660)
  • jdorn/sql-formatter (94,593,846)
  • khanamiryan/qrcode-detector-decoder (20,421,500)
  • object-calisthenics/phpcs-calisthenics-rules (2,196,380)
  • tga/simhash-php, tgalopin/simhashphp (30,555)


  1. Главная ссылка к новости (https://blog.packagist.com/pac...)
  2. OpenNews: Перехвачен контроль над Python-пакетом ctx и PHP-библиотекой phpass (дополнено)
  3. OpenNews: Уязвимость в пакетном менеджере Composer, допускающая компрометацию PHP-репозитория Packagist
  4. OpenNews: Доступен Composer 2.0.0, менеджер зависимостей для PHP
  5. OpenNews: Уязвимость, позволяющая удалённо выполнить код на сервере PHP-репозитория Packagist
  6. OpenNews: Google опубликовал OSV-Scanner, сканер уязвимостей, учитывающий зависимости
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59075-packagist
Ключевые слова: packagist
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (38) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:51, 04/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Получит в итоге не работу, а место на нарах =)
     
     
  • 2.36, Mail (?), 16:50, 04/05/2023 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    Ща будет бегать толпа индусов со строчкой в резюме: "взломал Packagist"
     
  • 2.49, Повар (?), 23:19, 04/05/2023 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    Долго сидеть ему не придётся, дадим работку!
     
  • 2.57, YetAnotherOnanym (ok), 09:43, 05/05/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    В РФ это была бы ст. 272 ч.1 УК - "Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло (...) модификацию (...) компьютерной информации" - максимум двушечка, причём
    по ст. 53(1) - не лишения свободы, а принудительных работ. Кроме этого, в гл. 8 "Обстоятельства, исключающие преступность деяния" есть ст. 41 "Обоснованный риск":
    1. Не является преступлением причинение вреда охраняемым уголовным законом интересам при обоснованном риске для достижения общественно полезной цели.
    2. Риск признается обоснованным, если указанная цель не могла быть достигнута не связанными с риском действиями (бездействием) и лицо, допустившее риск, предприняло достаточные меры для предотвращения вреда охраняемым уголовным законом интересам.
    То есть, если он скажет "я им емейл отправил, в котором предупреждал о небезопасных паролях, а они его проигнорили" - это будет основание вообще не считать его действия преступлением.
     

  • 1.2, alexandr_0503 (ok), 09:54, 04/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Сам же и свалился
     
  • 1.3, Аноним (3), 10:09, 04/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Шизофрения она такая.
     
  • 1.4, Аноним (4), 10:20, 04/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    анонимный интернет не имел таких проблем. куда только таргаши не приходят - сразу становиться не возможно жить, куча проблем в том числе с безопасностью. отмените логины в интернете как было раньше и все станет нормально.
     
     
  • 2.44, Аммоним (?), 23:04, 04/05/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    торгаши тянутся за обывателями
     

  • 1.5, Кир (?), 10:23, 04/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Вот как надо собеседования проходить! ))
     
     
  • 2.45, Аммоним (?), 23:06, 04/05/2023 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Вот и выросло поколение, не слышавшее про "Резюме оставлять на рабочем столе Билла Гейца".
     

  • 1.6, Аноним (6), 10:32, 04/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +5 +/
    Незачем продакшнам внешние зависимости тянуть из сети. Нужно иметь только основной репозиторий кода со всеми зависимостями. Обновление версий зависимостей желательно вручную производить с тщательным тестированием.
     
     
  • 2.9, Аноним (9), 10:35, 04/05/2023 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Что самое интересное, на рост зарплаты это если вообще и влияет, то только положительно.
     
     
  • 3.31, Аноним (31), 16:06, 04/05/2023 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Никак не повлияет. Будешь делать больше работы за те же деньги.
     
     
  • 4.41, Аноним (41), 20:09, 04/05/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    А у прораба? )
     
  • 2.32, Аноним (31), 16:10, 04/05/2023 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    Ага. И вычитывать весь код. А ещё лучше вообще никакой внешний код не использовать, и всё писать самому. И железо тоже самому делать.
     
     
  • 3.34, нейм (?), 16:42, 04/05/2023 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    SAST/DAST не, не слышали
     
     
  • 4.37, Аноним (31), 17:59, 04/05/2023 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Слышали, а как же. И даже наспор мимо них протаскивали патч Бармина. Они от ошибок программистов неплохо помогают, но от намеренного вредительства почти совсем нет.
     

  • 1.10, n00by (ok), 10:36, 04/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    > вопреки сложившейся практике "этических взломов"
    > заранее не уведомил

    +++
    > "Pwned by neskafe3v1....
    > Ищу работу на позиции Application Security,
    > Penetration Tester, Cyber Security Specialist."

    Интересно, что Гугл переводит "Looking for a job position" как просто "ищу работу", а Яндекс выдал всего 4 (четыре) страницы с фразой "Ищу работу на позиции".

     
     
  • 2.11, Массоны Рептилоиды (?), 10:45, 04/05/2023 [^] [^^] [^^^] [ответить]  
    		• +8 +/
    > Ищу работу на позиции

    Можно в оркестр

     
     
  • 3.15, n00by (ok), 11:30, 04/05/2023 [^] [^^] [^^^] [ответить]  
    		• –3 +/
    Те позиции по другую сторону.
     
     
  • 4.42, Аноним (42), 22:27, 04/05/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Оркестровые позиции скоро везде будут.
     
     
  • 5.52, Аноним (52), 01:25, 05/05/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Без тебя врядли.
     
  • 5.56, n00by (ok), 07:49, 05/05/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Ножками буша торговали лет 10, импортозамещая отечественного производителя, пока не запретили ГМО, так что и франшиза Линукс вряд ли завтра закончится.
     
  • 2.35, Бывалый смузихлёб (?), 16:44, 04/05/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Не ну а что
    Уведомляешь такой. Через неделю начинаешь типо взламывать, думая что контора возражений не имеет ведь ответа так и не последовало, но и возражений тоже.
    А контора через две недели отправляет гневное письмо-ответ на исходное, чтобы близко со своими погаными лапами к сервакам не приближался иначе по башке надают( а то ведь реально что-то сломаться может в хитрозапутанных интеграциях и процессах. А может уже и быть сломано, зато найдётся отличный крайний козёл на хороший иск )
    На вырученные от взлома деньги затариваешься сухарями и вазелином с доставкой. Гулять-так гулять напоследок. Зато заранее предупредил.
     
     
  • 3.38, n00by (ok), 18:18, 04/05/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Там буквы русские, а текст сочинял плохо знающий язык.
     
  • 2.54, ivan_erohin (?), 05:56, 05/05/2023 Скрыто ботом-модератором     [к модератору]
    		• +/
     
     
  • 3.55, n00by (ok), 06:55, 05/05/2023 Скрыто ботом-модератором     [к модератору]
    		• +/
     
  • 2.60, Бздительный поцыент (?), 16:59, 13/05/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Penetration Tester - это что-то из области испытателей игрушек?
     
     
  • 3.61, n00by (ok), 08:23, 14/05/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Войтхеты (а стало быть и чорношляпники) компелируют сплоет и дудосят сайтенги, вряд ли он бета-тестером в геймдев целит.
     

  • 1.12, Аноним (-), 10:52, 04/05/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• –1 +/
     

  • 1.25, Вы забыли заполнить поле Name (?), 13:28, 04/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Хорошее резюме
     
  • 1.33, Бывалый смузихлёб (?), 16:37, 04/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Что вообще за говнотермин "этический взлом"
    В целом же, похоже что поцык просто захотел цену себе набить. Ведь монетизировать тот взлом чтобы стать реально богаче и не присесть он бы не смог
     
     
  • 2.40, Kuromi (ok), 19:55, 04/05/2023 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Этический - это неудачный "эпический"
     

  • 1.39, Вы забыли заполнить поле Name (?), 19:38, 04/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Это не взлом, а фича современных централизованных пакетных менеджеров без подписи.
     
     
  • 2.43, Аноним (42), 22:28, 04/05/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Качается ведь через HTTPS, зачем ещё какие-то подписи?
     
     
  • 3.51, Коми (?), 00:13, 05/05/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Ооо, сарказм.
     

  • 1.47, Аммоним (?), 23:14, 04/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > простые для подбора пароли без включения двухфакторной аутентификации
    > без двухфакторной

    Какое удивительное совпадение, корпорашки насильно ставят новые зонды "для вашей же безопасности", и тут такой удобный случай для запугивания несогласных

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру