Írtunk a PHP-ről Packagista ökoszisztéma előtt.
Akárcsak PyPI for Pythonisták, Gems for Ruby rajongók, NPM a JavaScript programozók számára vagy a LuaRocks for Luaphiles, a Packagist egy olyan adattár, ahol a közösségi közreműködők közzétehetik az általuk létrehozott PHP-csomagok részleteit.
Ez megkönnyíti a többi PHP-kódoló számára, hogy megszerezzék a saját projektjeikben használni kívánt könyvtári kódot, és ha akarják, azt automatikusan naprakészen tartsák.
Ellentétben a PyPI-vel, amely saját szervereket biztosít, ahol a tényleges könyvtárkód tárolódik (vagy a LuaRocks-szal, amely néha magát a projekt forráskódját tárolja, néha pedig más lerakatokra hivatkozik), a Packagist hivatkozik az Ön által használt kódra, de nem őrzi meg annak másolatait. le kell tölteni.
Ennek megvan az előnye is, nevezetesen, hogy a jól ismert forráskód-szolgáltatásokon, például a GitHubon keresztül kezelt projekteknek nincs szükségük a hivatalos kiadásaik két példányának karbantartására, ami segít elkerülni a „verziósodródás” problémáját a projektek között. forráskód-vezérlő rendszer és a csomagolási rendszer.
És van egy árnyoldala is, nevezetesen, hogy elkerülhetetlenül kétféle módon kerülhetnek a csomagok csapdába.
Magát a csomagkezelőt is feltörhetik, ahol egyetlen URL módosítása elegendő lehet a csomag felhasználóinak félreirányításához.
Vagy a hivatkozott forráskód-tárat feltörhetik, így azok a felhasználók, akik a megfelelő URL-t követték, mindenesetre csaló tartalomhoz jutnak.
Régi fiókok károsnak minősülnek
Ezt támadás (úgy fogjuk hívni, hogy az érintett hacker nem tett közzé csapdába ejtett kódot) egy hibrid megközelítést használt.
A támadó négy régi és inaktív Packagist fiókot talált, amelyekhez valamilyen módon megszerezték a bejelentkezési jelszavakat.
Ezután azonosítottak 14 GitHub-projektet, amelyekhez ezek az inaktív fiókok kapcsoltak, és átmásolták őket egy újonnan létrehozott GitHub-fiókba.
Végül módosították a Packagist rendszer csomagjait, hogy az új GitHub-tárolókra mutassanak.
A GitHub projektek klónozása hihetetlenül gyakori. Néha a fejlesztők szeretnék létrehozni egy valódi fork-ot (alternatív verziót) a projekthez új menedzsment alatt, vagy különböző funkciókat kínálnak; máskor úgy tűnik, hogy az elágazó projekteket lemásolják, amit nem hízelgően „volumetrikus okok”-nak nevezhetünk, így a GitHub-fiókok nagyobbnak, jobbnak, mozgalmasabbnak és a közösség iránti elkötelezettebbnek tűnnek (ha megbocsátjuk a szójátékot), mint amilyenek valójában.
Bár a hacker beszúrhatott gaz kódot a klónozott GitHub PHP-forrásba, például nyomkövetőket, kulcsnaplókat, hátsó ajtókat vagy más rosszindulatú programokat, úgy tűnik, hogy minden projektben egyetlen elemet változtattak: egy fájlt, composer.json
.
Ez a fájl egy bejegyzést tartalmaz, melynek címe description
, amely általában pontosan azt tartalmazza, amit látni szeretne: egy szöveges karakterláncot, amely leírja, hogy mire való a forráskód.
És ez minden, amit a hackerünk módosított, megváltoztatva a szöveget valami informatívról, mint pl Project PPP implements the QQQ protocol so you can RRR
, így projektjeik ehelyett a következőket jelentették:
Szerző: XXX@XXXX.com. Ищу работу на позиции Alkalmazásbiztonság, penetrációtesztelő, kiberbiztonsági szakértő.
A második, félig oroszul, félig angolul írt mondat jelentése:
Munkát keresek Application Security... stb.
Nem beszélhetünk mindenki nevében, de ahogy az önéletrajzokban (önéletrajzokban) szerepel, ezt nem találtuk túl meggyőzőnek.
Továbbá, a Packagist csapat mondja hogy minden jogosulatlan változtatást visszaállítottak, és a 14 klónozott GitHub-projektet nem módosították más módon, mint hogy belefoglalták a tulajdonos foglalkoztatási kérését.
Amennyit megér, a leendő Application Security-szakértő GitHub-fiókja még mindig él, és még mindig vannak benne „elágazó” projektek.
Nem tudjuk, hogy a GitHub még nem jutott-e el a fiók vagy a projektek törléséhez, vagy a webhely úgy döntött, hogy nem távolítja el őket.
Végül is a forking projektek általánosak és megengedettek (ahol a licencfeltételek legalábbis ezt megengedik), és bár egy nem rosszindulatú kódprojektet ír le a szöveggel Pwned by XXXX@XXXX.com
nem hasznos, aligha illegális.
Mit kell tenni?
- Ne csináld ezt. Biztosan nem fogod felkelteni egyetlen törvényes munkaadó érdeklődését sem, és (ha őszintén szólunk) nem fogsz lenyűgözni egyetlen internetes szélhámost sem.
- Ne hagyja aktívan a fel nem használt fiókokat, ha segíthet. Ahogy tegnap mondtuk A jelszó világnapja, fontolja meg olyan fiókok bezárását, amelyekre már nincs szüksége, azzal az indokkal, hogy minél kevesebb jelszót használ, annál kevesebbet lopnak el.
- Ne használja újra a jelszavakat egynél több fiókban. A Packagist feltételezése szerint az ebben az esetben visszaélt jelszavak más fiókokból származó adatvédelmi feljegyzésekben hevertek, ahol az áldozatok ugyanazt a jelszót használták, mint a Packagist fiókjukban.
- Ne felejtsd el a 2FA-t. A Packagist minden saját felhasználóját arra ösztönzi, hogy kapcsolja be a 2FA-t, így a jelszó önmagában nem elegendő ahhoz, hogy a támadó bejelentkezzen a fiókjába, és azt javasolja, hogy ugyanezt tegye a GitHub-fiókjában is.
- Ne fogadja el vakon az ellátási lánc frissítéseit anélkül, hogy ellenőrizné azok helyességét. Ha a csomagfüggőségek bonyolult hálója van, csábító, hogy félredobja a felelősségét, és hagyja, hogy a rendszer automatikusan lekérje az összes frissítést, de ez csak további kockázatnak teszi ki Önt és továbbfelhasználóit.
ITT A JELSZÓ VILÁGNAPJÁNAK TANÁCS
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
- A jövő pénzverése – Adryenn Ashley. Hozzáférés itt.
- Részvények vásárlása és eladása PRE-IPO társaságokban a PREIPO® segítségével. Hozzáférés itt.
- Forrás: https://nakedsecurity.sophos.com/2023/05/05/php-packagist-supply-chain-poisoned-by-hacker-looking-for-a-job/
- :van
- :is
- :nem
- :ahol
- $ UP
- 1
- 14
- 15%
- 2FA
- a
- Rólunk
- Abszolút
- Elfogad!
- Fiók
- Fiókok
- szerzett
- aktív
- hozzáadásával
- További
- tanács
- Minden termék
- lehetővé
- kizárólag
- alternatív
- Bár
- an
- és a
- bármilyen
- Alkalmazás
- alkalmazás biztonsága
- megközelítés
- VANNAK
- körül
- AS
- feltevés
- At
- szerző
- auto
- automatikusan
- elkerülése érdekében
- Hátsóajtó
- background-image
- BE
- óta
- előtt
- Jobb
- között
- nagyobb
- BleepingComputer
- vakon
- határ
- Alsó
- megsértése
- de
- by
- hívás
- hívott
- TUD
- eset
- Központ
- lánc
- megváltozott
- Változások
- változó
- záró
- kód
- szín
- COM
- elkötelezett
- Közös
- közösség
- bonyolult
- az érintett
- Fontolja
- figyelembe vett
- tartalmaz
- tartalom
- közreműködők
- ellenőrzés
- példányban
- tudott
- terjed
- teremt
- készítette
- CVS
- cyber
- kiberbiztonság
- dátum
- adatok megsértése
- találka
- határozott
- minden bizonnyal
- részletek
- fejlesztők
- különböző
- kijelző
- do
- Nem
- Ennek
- ne
- le-
- letöltés
- hátránya
- minden
- könnyű
- bármelyik
- munkáltatók
- foglalkoztatás
- végén
- Angol
- elég
- belépés
- stb.
- Még
- mindenki
- pontosan
- vár
- rajongók
- Jellemzők
- fickó
- kevesebb
- filé
- Találjon
- követ
- A
- villa
- Villás
- talált
- négy
- ból ből
- valódi
- kap
- GitHub
- Go
- megy
- csapkodott
- hacker
- kellett
- fél
- Legyen
- magasság
- segít
- segít
- tart
- lebeg
- HTTPS
- hibrid
- i
- azonosított
- if
- Illegális
- munkagépek
- in
- tétlen
- tartalmaz
- magában foglalja a
- hihetetlenül
- elkerülhetetlenül
- tájékoztató
- helyette
- kamat
- bele
- IT
- ITS
- maga
- JavaScript
- Munka
- éppen
- Tart
- Ismer
- legkevésbé
- Szabadság
- balra
- jogos
- könyvtár
- Engedélyezés
- mint
- összekapcsolt
- linkek
- él
- log
- Belépés
- néz
- nézett
- keres
- fenntartása
- KÉSZÍT
- Gyártás
- malware
- sikerült
- vezetés
- menedzser
- Margó
- max-width
- eszközök
- esetleg
- módosított
- több
- Szükség
- Új
- nem
- normális
- nevezetesen
- Most
- of
- felajánlás
- hivatalos
- Régi
- on
- ONE
- or
- Más
- mi
- ki
- saját
- csomag
- csomagok
- csomagolás
- Jelszó
- jelszavak
- Paul
- behatolás
- PHP
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- pozíció
- Hozzászólások
- PPP
- Probléma
- programozók
- program
- projektek
- protokoll
- biztosít
- közzétesz
- közzétett
- helyezi
- tényleg
- ajánlja
- nyilvántartások
- Releases
- eltávolítása
- Számolt
- raktár
- felelősség
- felülvizsgálata
- Kockázat
- körül
- orosz
- Mondott
- azonos
- Második
- biztonság
- lát
- látszik
- Úgy tűnik,
- mondat
- Szolgáltatások
- egyetlen
- weboldal
- So
- kérelmezés
- szilárd
- valami
- forrás
- forráskód
- beszél
- szakember
- Még mindig
- lopott
- memorizált
- árnyékolók
- Húr
- ilyen
- kínálat
- ellátási lánc
- SVG
- rendszer
- csapat
- feltételek
- mint
- hogy
- A
- A projektek
- The Source
- azok
- Őket
- akkor
- Ott.
- Ezek
- ők
- ezt
- azok
- bár?
- alkalommal
- nak nek
- is
- felső
- dobás
- Tracker
- átmenet
- átlátszó
- FORDULAT
- kettő
- alatt
- felhasználatlan
- Frissítés
- fejjel
- sürgeti
- URL
- használ
- használt
- Felhasználók
- rendszerint
- változat
- keresztül
- áldozatok
- akar
- volt
- Út..
- módon
- we
- háló
- jól ismert
- voltak
- Mit
- vajon
- ami
- WHO
- lesz
- val vel
- nélkül
- világ
- érdemes
- lenne
- írott
- még
- te
- A te
- zephyrnet