Oleme kirjutanud PHP-dest Packagistlik ökosüsteem enne
Nagu PyPI Pythonistadele, Gems Ruby fännidele, NPM JavaScripti programmeerijatele või LuaRocks Luaphilesile, on Packagist hoidla, kus kogukonna kaastöötajad saavad avaldada enda loodud PHP pakettide üksikasju.
See muudab teiste PHP-kodeerijate jaoks lihtsaks raamatukogu koodi hankimise, mida nad soovivad oma projektides kasutada, ja seda koodi soovi korral automaatselt ajakohasena hoida.
Erinevalt PyPI-st, mis pakub oma servereid, kuhu salvestatakse tegelik teegi kood (või LuaRocksist, mis mõnikord salvestab projekti lähtekoodi ja mõnikord lingib teistele hoidlatele), lingib Packagist teie koodiga, kuid ei säilita selle koopiaid. vaja alla laadida.
Sel viisil toimimisel on ka eelis, eelkõige see, et projektid, mida hallatakse tuntud lähtekooditeenuste (nt GitHub) kaudu, ei pea säilitama oma ametlikest väljaannetest kahte koopiat, mis aitab vältida "versioonide triivimise" probleemi lähtekoodi juhtimissüsteem ja pakendamissüsteem.
Ja sellel on ka negatiivne külg, eriti see, et paratamatult on kaks erinevat viisi, kuidas pakid võivad lõksu jääda.
Paketihaldur ise võib saada häkitud, kus ühe URL-i muutmisest võib piisata, et paketi kasutajaid valesti suunata.
Või võidakse lingitud lähtekoodihoidla häkkida, nii et kasutajad, kes järgisid seda, mis näis õiget URL-i, jõuaksid niikuinii võltsitud sisuga.
Vanad kontod peetakse kahjulikuks
see rünnak (me nimetame seda nii, ehkki asjaomane häkker ei avaldanud ühtki varjatud koodi) kasutas seda, mida võiks nimetada hübriidseks lähenemisviisiks.
Ründaja leidis neli vana ja passiivset Packagisti kontot, mille sisselogimisparoolid nad mingil moel hankisid.
Seejärel tuvastasid nad 14 GitHubi projekti, millega need passiivsed kontod olid seotud, ja kopeerisid need äsja loodud GitHubi kontole.
Lõpuks kohandasid nad pakette Packagisti süsteemis, et osutada uutele GitHubi hoidlatele.
GitHubi projektide kloonimine on uskumatult levinud. Mõnikord soovivad arendajad luua projektist ehtsa kahvli (alternatiivne versioon), mis on uue halduse all või pakub erinevaid funktsioone; mõnikord tundub, et kahvelprojekte kopeeritakse põhjustel, mida võib meelitamatult nimetada "mahulisteks põhjusteks", mistõttu GitHubi kontod näevad välja suuremad, paremad, hõivatumad ja kogukonnale pühendunumad (kui andeks anda), kui nad tegelikult on.
Ehkki häkker võis sisestada kloonitud GitHubi PHP allikasse võltskoodi, näiteks lisada jälgijaid, klahvilogijaid, tagauksi või muud pahavara, näib, et kõik, mida nad muutsid, oli igas projektis ainult üks üksus: fail nimega composer.json
.
See fail sisaldab kirjet pealkirjaga description
, mis sisaldab tavaliselt täpselt seda, mida võiksite näha: tekstistringi, mis kirjeldab lähtekoodi eesmärki.
Ja see on kõik, mida meie häkker on muutnud, muutes teksti midagi informatiivset, näiteks Project PPP implements the QQQ protocol so you can RRR
, nii et nende projektid teatasid selle asemel:
Pwred by XXX@XXXX.com. Ищу работу на позиции Rakenduste turvalisus, läbitungitestija, küberturvalisuse spetsialist.
Teine lause, mis on kirjutatud pooleldi vene, pooleldi inglise keeles, tähendab:
Otsin tööd rakenduste turvalisuses... jne.
Me ei saa kõigi eest rääkida, kuid CV-de (resumeed) põhjal me ei pidanud seda väga veenvaks.
Samuti Packagisti meeskond ütleb et kõik volitamata muudatused on nüüd tagasi viidud ja et 14 kloonitud GitHubi projekti ei ole muudetud muul viisil, kui et hõlmata pwneri tööpakkumine.
Mida see väärt on, potentsiaalse rakenduste turbeeksperdi GitHubi konto on endiselt aktiivne ja selles on endiselt neid "kahveldatud" projekte.
Me ei tea, kas GitHub pole veel jõudnud konto või projektide kustutamiseni või on sait otsustanud neid mitte eemaldada.
Lõppude lõpuks on projektide forkimine tavaline ja lubatud (kui litsentsitingimused seda vähemalt lubavad), ja kuigi see kirjeldab mittepahatahtliku koodi projekti koos tekstiga Pwned by XXXX@XXXX.com
on kasutu, vaevalt see ebaseaduslik.
Mida teha?
- Ära tee seda. Kindlasti ei ärata te ühegi seadusliku tööandja huvi ja (kui oleme ausad) ei jäta te isegi muljet ühelegi küberkelmile.
- Ärge jätke kasutamata kontosid aktiivseks, kui saate seda aidata. Nagu me eile ütlesime Ülemaailmne paroolipäev, kaaluge mittevajalike kontode sulgemist, kuna mida vähem paroole kasutate, seda vähem on neid, kes saavad varastada.
- Ärge kasutage paroole rohkem kui ühel kontol. Packagisti oletus on, et antud juhul kuritarvitatud paroolid leidusid teiste kontode andmerikkumiste kirjetes, kus ohvrid olid kasutanud sama parooli, mis nende Packagisti kontol.
- Ärge unustage oma 2FA-d. Packagist soovitab kõigil oma kasutajatel 2FA sisse lülitada, seega ei piisa ainult paroolist, et ründaja saaks teie kontole sisse logida, ning soovitab seda teha ka teie GitHubi kontol.
- Ärge nõustuge tarneahela värskendustega pimesi ilma nende õigsuse kontrollimiseta. Kui teil on keeruline paketisõltuvuste võrk, on ahvatlev jätta oma kohustused kõrvale ja lasta süsteemil kõik teie värskendused automaatselt tuua, kuid see seab teid ja teie allkasutajaid täiendavasse ohtu.
SIIN SEE NÕUANNE MAAILMALOOLI PÄEVALT
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
- Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
- Ostke ja müüge IPO-eelsete ettevõtete aktsiaid koos PREIPO®-ga. Juurdepääs siia.
- Allikas: https://nakedsecurity.sophos.com/2023/05/05/php-packagist-supply-chain-poisoned-by-hacker-looking-for-a-job/
- :on
- :on
- :mitte
- : kus
- $ UP
- 1
- 14
- 15%
- 2FA
- a
- MEIST
- absoluutne
- aktsepteerima
- konto
- Kontod
- omandatud
- aktiivne
- lisades
- Täiendavad lisad
- nõuanne
- Materjal: BPA ja flataatide vaba plastik
- võimaldama
- üksi
- alternatiiv
- Kuigi
- an
- ja
- mistahes
- taotlus
- rakenduse turvalisus
- lähenemine
- OLEME
- ümber
- AS
- eeldus
- At
- autor
- auto
- automaatselt
- vältima
- Tagauksed
- background-image
- BE
- olnud
- enne
- Parem
- vahel
- suurem
- BleepingComputer
- pimesi
- piir
- põhi
- rikkumine
- kuid
- by
- helistama
- kutsutud
- CAN
- juhul
- keskus
- kett
- muutunud
- Vaidluste lahendamine
- muutuv
- Sulgemine
- kood
- värv
- COM
- toime pandud
- ühine
- kogukond
- keeruline
- mures
- Arvestama
- kaaluda
- sisaldab
- sisu
- toetajad
- kontrollida
- koopiad
- võiks
- cover
- looma
- loodud
- CVS
- cyber
- küberturvalisus
- andmed
- andmete rikkumist
- kuupäev
- otsustatud
- kindlasti
- detailid
- Arendajad
- erinev
- Ekraan
- do
- Ei tee
- teeme
- Ära
- alla
- lae alla
- miinus
- iga
- lihtne
- kumbki
- tööandjad
- töö
- lõpp
- Inglise
- piisavalt
- kanne
- jms
- Isegi
- igaüks
- täpselt
- ootama
- fännid
- FUNKTSIOONID
- mees
- vähem
- fail
- leidma
- Järgneb
- eest
- kahvel
- Kahveldamine
- avastatud
- neli
- Alates
- ehtne
- saama
- GitHub
- Go
- läheb
- häkkinud
- häkker
- olnud
- Pool
- Olema
- kõrgus
- aitama
- aitab
- hoidma
- hõljuma
- HTTPS
- hübriid
- i
- tuvastatud
- if
- ebaseaduslik
- tööriistad
- in
- inaktiivne
- sisaldama
- hõlmab
- uskumatult
- paratamatult
- informatiivne
- selle asemel
- huvi
- sisse
- IT
- ITS
- ise
- JavaScript
- töö
- lihtsalt
- hoidma
- Teadma
- kõige vähem
- Lahkuma
- lahkus
- õigustatud
- Raamatukogu
- litsentsimine
- nagu
- seotud
- lingid
- elama
- logi
- Logi sisse
- Vaata
- Vaatasin
- otsin
- säilitada
- TEEB
- Tegemine
- malware
- juhitud
- juhtimine
- juht
- Varu
- max laiuse
- vahendid
- võib
- modifitseeritud
- rohkem
- Vajadus
- Uus
- ei
- normaalne
- eelkõige
- nüüd
- of
- pakkumine
- ametlik
- Vana
- on
- ONE
- or
- Muu
- meie
- välja
- enda
- pakend
- pakette
- pakendamine
- Parool
- paroolid
- Paul
- hõlvamine
- PHP
- Platon
- Platoni andmete intelligentsus
- PlatoData
- Punkt
- positsioon
- Postitusi
- PPP
- Probleem
- Programmeerijad
- projekt
- projektid
- protokoll
- annab
- avaldama
- avaldatud
- Paneb
- tõesti
- soovitab
- andmed
- Pressiteated
- kõrvaldama
- Teatatud
- Hoidla
- kohustused
- läbivaatamine
- Oht
- ümber
- vene
- Ütlesin
- sama
- Teine
- turvalisus
- vaata
- tundub
- tundub
- Lause
- Teenused
- ühekordne
- site
- So
- pakkumine
- tahke
- midagi
- allikas
- lähtekoodi
- rääkima
- spetsialist
- Veel
- varastatud
- ladustatud
- kauplustes
- nöör
- selline
- varustama
- tarneahelas
- SVG
- süsteem
- meeskond
- tingimused
- kui
- et
- .
- Projektid
- Allikas
- oma
- Neile
- SIIS
- Seal.
- Need
- nad
- see
- need
- kuigi?
- korda
- et
- liiga
- ülemine
- viskama
- jälgimisseadmed
- üleminek
- läbipaistev
- Pöörake
- kaks
- all
- kasutamata
- Uudised
- Upside
- tunge
- URL
- kasutama
- Kasutatud
- Kasutajad
- tavaliselt
- versioon
- kaudu
- ohvreid
- tahan
- oli
- Tee..
- kuidas
- we
- web
- hästi tuntud
- olid
- M
- kas
- mis
- WHO
- will
- koos
- ilma
- maailm
- väärt
- oleks
- kirjalik
- veel
- sa
- Sinu
- sephyrnet