لقد كتبنا عن PHP Packagist النظام البيئي قبل.
مثل PyPI لـ Pythonistas أو Gems لعشاق Ruby أو NPM لمبرمجي JavaScript أو LuaRocks لـ Luaphiles ، يعد Packagist مستودعًا حيث يمكن للمساهمين المجتمعيين نشر تفاصيل حزم PHP التي قاموا بإنشائها.
هذا يجعل من السهل على المبرمجين PHP الحصول على كود المكتبة الذي يريدون استخدامه في مشاريعهم الخاصة ، والحفاظ على تحديث هذا الرمز تلقائيًا إذا رغبوا في ذلك.
على عكس PyPI ، التي توفر خوادمها الخاصة حيث يتم تخزين رمز المكتبة الفعلي (أو LuaRocks ، الذي يخزن أحيانًا كود مصدر المشروع نفسه وأحيانًا روابط إلى مستودعات أخرى) ، يرتبط Packagist بالشفرة التي تستخدمها ، ولكنها لا تحتفظ بنفسها بنسخ منها بحاجة للتنزيل.
هناك جانب إيجابي للقيام بذلك بهذه الطريقة ، لا سيما أن المشاريع التي تتم إدارتها عبر خدمات كود المصدر المعروفة مثل GitHub لا تحتاج إلى الاحتفاظ بنسختين من إصداراتها الرسمية ، مما يساعد على تجنب مشكلة "انحراف الإصدار" بين نظام التحكم في كود المصدر ونظام التعبئة والتغليف.
وهناك جانب سلبي ، لا سيما أن هناك حتمًا طريقتان مختلفتان يمكن أن يتم تفخيخ الحزم فيهما.
يمكن اختراق مدير الحزم نفسه ، حيث قد يكون تغيير عنوان URL واحدًا كافيًا لتضليل مستخدمي الحزمة.
أو يمكن اختراق مستودع كود المصدر المرتبط به ، بحيث ينتهي الأمر بالمستخدمين الذين يتابعون ما يشبه عنوان URL الصحيح بمحتوى مخادع على أي حال.
تعتبر الحسابات القديمة ضارة
هذه مهاجمة (سنسميها ذلك ، على الرغم من عدم نشر أي كود مفخخ من قبل المتسلل المعني) استخدم ما يمكن أن تسميه نهجًا مختلطًا.
وجد المهاجم أربعة حسابات Packagist قديمة وغير نشطة حصلوا من أجلها بطريقة ما على كلمات مرور تسجيل الدخول.
ثم حددوا 14 مشروعًا على GitHub كانت مرتبطة بهذه الحسابات غير النشطة ونسخوا لهم حسابًا تم إنشاؤه حديثًا على GitHub.
أخيرًا ، قاموا بتعديل الحزم في نظام Packagist للإشارة إلى مستودعات GitHub الجديدة.
يعد استنساخ مشاريع GitHub أمرًا شائعًا بشكل لا يصدق. في بعض الأحيان ، يرغب المطورون في إنشاء نسخة أصلية (نسخة بديلة) من المشروع تحت إدارة جديدة ، أو تقديم ميزات مختلفة ؛ في أوقات أخرى ، يبدو أنه يتم نسخ المشاريع المتشعبة لما قد يُطلق عليه بشكل غير مبهج "أسباب حجمية" ، مما يجعل حسابات GitHub تبدو أكبر وأفضل وأكثر انشغالًا وأكثر التزامًا بالمجتمع (إذا كنت ستعفو عن التورية) مما هي عليه بالفعل.
على الرغم من أن المخترق كان بإمكانه إدخال رمز خادع في مصدر GitHub PHP المستنسخ ، مثل إضافة أدوات تعقب أو برامج تسجيل لوحة مفاتيح أو أبواب خلفية أو برامج ضارة أخرى ، يبدو أن كل ما قاموا بتغييره كان عنصرًا واحدًا في كل مشروع: ملف يسمى composer.json
.
يتضمن هذا الملف إدخال بعنوان description
، والتي تحتوي عادةً على ما تتوقع رؤيته بالضبط: سلسلة نصية تصف الغرض من شفرة المصدر.
وهذا كل ما قام الهاكر بتعديله ، بتغيير النص من شيء إعلامي ، مثل Project PPP implements the QQQ protocol so you can RRR
، بحيث ذكرت مشاريعهم بدلاً من ذلك:
Pwned بواسطة XXX@XXXX.com. Ищу работу на позиции تطبيق الأمان ، جهاز اختبار الاختراق ، أخصائي الأمن السيبراني.
الجملة الثانية ، نصفها باللغة الروسية ، والنصف الآخر باللغة الإنجليزية ، وتعني:
أبحث عن وظيفة في مجال أمن التطبيقات ... إلخ.
لا يمكننا التحدث نيابة عن الجميع ، ولكن مع استمرار السير الذاتية ، لم نجد هذه السيرة الذاتية مقنعة بشكل رهيب.
أيضا، يقول فريق Packagist أن جميع التغييرات غير المصرح بها قد تم إرجاعها الآن ، وأن مشاريع GitHub الأربعة عشر المستنسخة لم يتم تعديلها بأي طريقة أخرى غير تضمين طلب التوظيف من صاحب العمل.
مقابل ما يستحق ، لا يزال حساب GitHub لخبير أمان التطبيقات نشطًا ، ولا يزال يحتوي على تلك المشاريع "المتشعبة" فيه.
لا نعرف ما إذا كان GitHub لم يتحول بعد إلى حذف الحساب أو المشاريع ، أو ما إذا كان الموقع قد قرر عدم إزالتها.
بعد كل شيء ، يعد إنشاء المشروعات أمرًا شائعًا ومسموحًا به (حيث تسمح شروط الترخيص بذلك ، على الأقل) ، وعلى الرغم من وصف مشروع التعليمات البرمجية غير الضار بالنص Pwned by XXXX@XXXX.com
غير مفيد ، فهو بالكاد غير قانوني.
ماذا ستفعلين.. إذًا؟
- لا تفعل هذا. من المؤكد أنك لن تجتذب اهتمام أي صاحب عمل شرعي ، و (إذا كنا صادقين) فلن تثير إعجاب أي محتال إلكتروني هناك أيضًا.
- لا تترك الحسابات غير المستخدمة نشطة إذا كان بإمكانك مساعدتها. كما قلنا يوم أمس اليوم العالمي لكلمة المرور، ضع في اعتبارك إغلاق الحسابات التي لم تعد بحاجة إليها ، على أساس أنه كلما قل عدد كلمات المرور المستخدمة ، قل عدد السرقات التي تتم سرقتها.
- لا تعيد استخدام كلمات المرور في أكثر من حساب. يفترض Packagist أن كلمات المرور التي تم إساءة استخدامها في هذه الحالة كانت موجودة في سجلات خرق البيانات من حسابات أخرى حيث استخدم الضحايا نفس كلمة المرور المستخدمة في حساب Packagist الخاص بهم.
- لا تنس المصادقة الثنائية الخاصة بك. يحث Packagists جميع مستخدميها على تشغيل 2FA ، لذا فإن كلمة المرور وحدها لا تكفي للمهاجمين لتسجيل الدخول إلى حسابك ، ويوصون بفعل الشيء نفسه على حساب GitHub أيضًا.
- لا تقبل بشكل أعمى تحديثات سلسلة التوريد دون مراجعتها للتأكد من صحتها. إذا كانت لديك شبكة معقدة من تبعيات الحزمة ، فمن المغري أن تتجاهل مسؤولياتك جانباً وأن تترك النظام يجلب جميع تحديثاتك تلقائيًا ، ولكن هذا يعرضك أنت ومستخدميك في نهاية المطاف لمخاطر إضافية.
ها هي هذه النصيحة من اليوم العالمي لكلمة المرور
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- شراء وبيع الأسهم في شركات ما قبل الاكتتاب مع PREIPO®. الوصول هنا.
- المصدر https://nakedsecurity.sophos.com/2023/05/05/php-packagist-supply-chain-poisoned-by-hacker-looking-for-a-job/
- :لديها
- :يكون
- :ليس
- :أين
- $ UP
- 1
- 14
- 15%
- 2FA
- a
- من نحن
- مطلق
- استمر
- حسابي
- الحسابات
- المكتسبة
- نشط
- مضيفا
- إضافي
- نصيحة
- الكل
- السماح
- وحده
- البديل
- بالرغم ان
- an
- و
- أي وقت
- تطبيق
- أمان التطبيق
- نهج
- هي
- حول
- AS
- افتراض
- At
- المؤلفة
- السيارات
- تلقائيا
- تجنب
- خلفي
- خلفية الصورة
- BE
- كان
- قبل
- أفضل
- ما بين
- أكبر
- BleepingComputer
- عمياء
- الحدود
- الملابس السفلية
- خرق
- لكن
- by
- دعوة
- تسمى
- CAN
- حقيبة
- مركز
- سلسلة
- غير
- التغييرات
- متغير
- إغلاق
- الكود
- اللون
- COM
- ملتزم
- مشترك
- مجتمع
- معقد
- قلق
- نظر
- نظرت
- يحتوي
- محتوى
- المساهمين
- مراقبة
- نسخ
- استطاع
- بهيكل
- خلق
- خلق
- CVS
- الانترنت
- الأمن الإلكتروني
- البيانات
- البيانات الاختراق
- التاريخ
- قررت
- قطعا
- تفاصيل
- المطورين
- مختلف
- العرض
- do
- لا
- فعل
- لا
- إلى أسفل
- بإمكانك تحميله
- الجانب السلبي
- كل
- سهل
- إما
- أرباب العمل
- توظيف
- النهاية
- عربي
- كاف
- دخول
- إلخ
- حتى
- كل شخص
- بالضبط
- توقع
- المشجعين
- المميزات
- زميل
- أقل
- قم بتقديم
- يتبع
- في حالة
- شوكة
- التفرع
- وجدت
- أربعة
- تبدأ من
- حقيقي
- دولار فقط واحصل على خصم XNUMX% على جميع
- GitHub جيثب:
- Go
- الذهاب
- اخترق
- القراصنة
- كان
- نصفي
- يملك
- ارتفاع
- مساعدة
- يساعد
- عقد
- تحوم
- HTTPS
- مهجنة
- i
- محدد
- if
- غير شرعي
- الأدوات
- in
- غير فعال
- تتضمن
- يشمل
- لا يصدق
- لا محالة
- بالمعلومات
- بدلًا من ذلك
- مصلحة
- إلى
- IT
- انها
- نفسها
- جافا سكريبت
- وظيفة
- م
- احتفظ
- علم
- الأقل
- يترك
- اليسار
- شرعي
- المكتبة
- الترخيص
- مثل
- مرتبط
- وصلات
- حي
- سجل
- تسجيل الدخول
- بحث
- بدا
- أبحث
- المحافظة
- يصنع
- القيام ب
- البرمجيات الخبيثة
- تمكن
- إدارة
- مدير
- هامش
- ماكس العرض
- يعني
- ربما
- تم التعديل
- الأكثر من ذلك
- حاجة
- جديد
- لا
- عادي
- لا سيما
- الآن
- of
- الوهب
- رسمي
- قديم
- on
- ONE
- or
- أخرى
- لنا
- خارج
- الخاصة
- صفقة
- حزم
- التعبئة والتغليف
- كلمة المرور
- كلمات السر
- بول
- اختراق
- PHP
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- البوينت
- ان يرتفع المركز
- المنشورات
- PPP
- المشكلة
- المبرمجين
- تنفيذ المشاريع
- مشروع ناجح
- بروتوكول
- ويوفر
- نشر
- نشرت
- يضع
- في الحقيقة
- توصي
- تسجيل
- النشرات
- إزالة
- وذكرت
- مستودع
- المسؤوليات
- مراجعة
- المخاطرة
- دائري
- الروسية
- قال
- نفسه
- الثاني
- أمن
- انظر تعريف
- بدا
- يبدو
- عقوبة
- خدمات
- عزباء
- الموقع
- So
- التماس
- الصلبة
- شيء
- مصدر
- شفرة المصدر
- تحدث
- متخصص
- لا يزال
- مسروق
- تخزين
- فروعنا
- خيط
- هذه
- تزويد
- سلسلة التوريد
- SVG
- نظام
- فريق
- سياسة الحجب وتقييد الوصول
- من
- أن
- •
- المشاريع
- المصدر
- من مشاركة
- منهم
- then
- هناك.
- تشبه
- هم
- هؤلاء
- على الرغم من؟
- مرات
- إلى
- جدا
- تيشرت
- قذف
- بتتبع
- انتقال
- شفاف
- منعطف أو دور
- اثنان
- مع
- غير المستخدمة
- آخر التحديثات
- رأسا على عقب
- تحث
- URL
- تستخدم
- مستعمل
- المستخدمين
- عادة
- الإصدار
- بواسطة
- ضحايا
- تريد
- وكان
- طريق..
- طرق
- we
- الويب
- معروف
- كان
- ابحث عن
- سواء
- التي
- من الذى
- سوف
- مع
- بدون
- العالم
- قيمة
- سوف
- مكتوب
- حتى الآن
- لصحتك!
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت