PHP について書いてきました。 Packagist エコシステム 前に。
Pythonista 向けの PyPI、Ruby ファン向けの Gem、JavaScript プログラマ向けの NPM、または Luaphiles 向けの LuaRocks と同様に、Packagist は、コミュニティの貢献者が作成した PHP パッケージの詳細を公開できるリポジトリです。
これにより、仲間の PHP コーダーが自分のプロジェクトで使用したいライブラリ コードを簡単に入手し、必要に応じてそのコードを自動的に最新の状態に保つことができます。
実際のライブラリ コードが格納される独自のサーバーを提供する PyPI (または、プロジェクトのソース コード自体を格納し、他のリポジトリにリンクする場合もある LuaRocks) とは異なり、Packagist は次のコードにリンクしますが、コピーを保持しません。ダウンロードする必要があります。
このようにすることには利点があります。特に、GitHub などのよく知られているソース コード サービスを介して管理されているプロジェクトは、公式リリースの XNUMX つのコピーを維持する必要がないため、リリース間の「バージョン ドリフト」の問題を回避するのに役立ちます。ソースコード管理システムとパッケージングシステム。
また、マイナス面もあります。特に、パッケージがブービートラップされる可能性のある XNUMX つの異なる方法が必然的に存在することです。
パッケージ マネージャー自体がハッキングされる可能性があり、XNUMX つの URL を変更するだけでパッケージのユーザーを誤った方向に誘導する可能性があります。
または、リンク先のソース コード リポジトリがハッキングされる可能性があり、正しい URL のように見えるものをたどったユーザーがいずれにせよ不正なコンテンツにたどり着く可能性があります。
有害と見なされる古いアカウント
この 攻撃 (関連するハッカーによってブービー トラップ コードが公開されていなくても、私たちはそれをそう呼ぶことにします) いわゆるハイブリッド アプローチを使用しました。
攻撃者は、何らかの方法でログイン パスワードを取得した、古くて非アクティブな Packagist アカウントを XNUMX つ発見しました。
次に、これらの非アクティブなアカウントによってリンクされた 14 の GitHub プロジェクトを特定し、それらを新しく作成された GitHub アカウントにコピーしました。
最後に、Packagist システムのパッケージを微調整して、新しい GitHub リポジトリを指すようにしました。
GitHub プロジェクトのクローン作成は非常に一般的です。 開発者は、新しい管理下でプロジェクトの本物のフォーク (代替バージョン) を作成したり、さまざまな機能を提供したりすることがあります。 また、フォークされたプロジェクトは、お世辞にも「大量の理由」と呼ばれる理由でコピーされているように見え、GitHub アカウントが実際よりも大きく、より良く、忙しく、コミュニティにコミットしているように見えます (しゃれを許してください)。
ハッカーは、トラッカー、キーロガー、バックドア、またはその他のマルウェアを追加するなど、複製された GitHub PHP ソースに不正なコードを挿入することができた可能性がありますが、彼らが変更したのは各プロジェクト内の XNUMX つの項目だけだったようです: composer.json
.
このファイルには、次のタイトルのエントリが含まれています description
これには、通常、あなたが期待する内容が正確に含まれています。ソース コードの目的を説明するテキスト文字列です。
そして、ハッカーが変更したのはそれだけで、テキストを有益なものから次のように変更しました Project PPP implements the QQQ protocol so you can RRR
、彼らのプロジェクトが代わりに報告したように:
XXX@XXXX.com によって Pwned。 アプリケーション セキュリティ、ペネトレーション テスター、サイバー セキュリティ スペシャリスト。
半分ロシア語、半分英語で書かれた XNUMX 番目の文は、次のような意味です。
アプリケーションセキュリティの仕事を探しています...など.
すべての人を代弁することはできませんが、CV (レジュメ) が進むにつれて、これは非常に説得力があるとは思えませんでした。
また、 Packagist チーム 言う 無許可の変更はすべて元に戻され、14 のクローン化された GitHub プロジェクトは、pwner の雇用要請を含める以外の方法で変更されていませんでした。
それだけの価値はありますが、アプリケーション セキュリティの専門家を志望する彼の GitHub アカウントはまだ有効であり、「フォークされた」プロジェクトがまだ残っています。
GitHub がまだアカウントやプロジェクトを抹消していないのか、それともサイトがそれらを削除しないことに決めたのかはわかりません。
結局のところ、プロジェクトのフォークは一般的で許容されます (少なくともライセンス条件で許可されている場合)。 Pwned by XXXX@XXXX.com
役に立たず、ほとんど違法ではありません。
何をするか?
- これをしないでください。 正当な雇用主の関心を引くことは絶対にありませんし、(正直なところ) サイバー犯罪者を感心させることさえできません。
- できれば未使用のアカウントをアクティブのままにしないでください。 昨日言ったように 世界パスワードデー、使用しているパスワードが少なければ少ないほど、盗まれる可能性が少なくなるという理由で、不要になったアカウントを閉鎖することを検討してください。
- 複数のアカウントでパスワードを再利用しないでください。 Packagist の推測では、このケースで悪用されたパスワードは、被害者が自分の Packagist アカウントと同じパスワードを使用した他のアカウントからのデータ侵害記録に転がっていたというものです。
- 2FA を忘れないでください。 Packagists は、自社のすべてのユーザーに 2FA をオンにするように促しているため、攻撃者がアカウントにログインするにはパスワードだけでは不十分であり、GitHub アカウントでも同じことを行うことをお勧めします.
- サプライ チェーンの更新が正しいかどうかを確認せずに、やみくもに受け入れないでください。 パッケージの依存関係が複雑に絡み合っている場合、自分の責任を脇に置いて、システムがすべての更新を自動的に取得できるようにしたくなるかもしれませんが、それはあなたと下流のユーザーを追加のリスクにさらすだけです.
WORLD PASSWORD DAYからのアドバイス
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- 未来を鋳造する w エイドリエン・アシュリー。 こちらからアクセスしてください。
- PREIPO® を使用して PRE-IPO 企業の株式を売買します。 こちらからアクセスしてください。
- 情報源: https://nakedsecurity.sophos.com/2023/05/05/php-packagist-supply-chain-poisoned-by-hacker-looking-for-a-job/
- :持っている
- :は
- :not
- :どこ
- $UP
- 1
- 14
- 視聴者の38%が
- 2FA
- a
- 私たちについて
- 絶対の
- 同意
- アカウント
- 取得
- アクティブ
- 追加
- NEW
- アドバイス
- すべて
- 許す
- 一人で
- 代替案
- しかし
- an
- &
- どれか
- 申し込み
- アプリケーションセキュリティ
- アプローチ
- です
- 周りに
- AS
- 仮定
- At
- 著者
- オート
- 自動的に
- 避ける
- バックドア
- 背景画像
- BE
- き
- より良いです
- の間に
- より大きい
- 逃げるコンピュータ
- やみくもに
- 国境
- ボトム
- 違反
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- コール
- 呼ばれます
- 缶
- 場合
- センター
- チェーン
- 変更
- 変更
- 変化
- 閉鎖
- コード
- カラー
- COM
- コミットした
- コマンドと
- コミュニティ
- 複雑な
- 心配
- 検討
- 見なさ
- 含まれています
- コンテンツ
- 貢献者
- コントロール
- コピー
- 可能性
- カバー
- 作ります
- 作成した
- CVS
- サイバー
- サイバーセキュリティ
- データ
- データ侵害
- 日付
- 決定しました
- 絶対に
- 細部
- 開発者
- 異なります
- ディスプレイ
- do
- そうではありません
- すること
- ドント
- ダウン
- ダウンロード
- 下側
- 各
- 簡単に
- どちら
- 雇用者
- 雇用
- end
- 英語
- 十分な
- エントリ
- 等
- さらに
- 誰も
- 正確に
- 期待する
- ファン
- 特徴
- 仲間
- より少ない
- File
- もう完成させ、ワークスペースに掲示しましたか?
- 続いて
- フォーク
- フォーク
- 発見
- 4
- から
- 本物の
- 取得する
- GitHubの
- Go
- 行く
- SIMカード製造会社の最大手がアメリカやイギリスのスパイ機関によってハッキングされたとの情報が見つかっている。
- ハッカー
- 持っていました
- 半分
- 持ってる
- 高さ
- 助けます
- ことができます
- ホバー
- HTTPS
- ハイブリッド
- i
- 特定され
- if
- 違法
- 実装する
- in
- 非アクティブな
- include
- 含ま
- 信じられないほど
- 必然的に
- 有益な
- を取得する必要がある者
- 関心
- に
- IT
- ITS
- 自体
- JavaScriptを
- ジョブ
- ただ
- キープ
- 知っている
- 最低
- コメントを残す
- 左
- 正当な
- 図書館
- ライセンシング
- ような
- リンク
- リンク
- ライブ
- ログ
- ログイン
- 見て
- 見
- 探して
- 維持する
- 作る
- 作成
- マルウェア
- マネージド
- 管理
- マネージャー
- マージン
- 最大幅
- 手段
- かもしれない
- 修正されました
- 他には?
- 必要
- 新作
- いいえ
- 通常の
- 特に
- 今
- of
- 提供すること
- 公式
- 古い
- on
- ONE
- or
- その他
- 私たちの
- でる
- 自分の
- パッケージ
- パッケージ
- 包装
- パスワード
- パスワード
- Paul Cairns
- 浸透
- PHP
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- 位置
- 投稿
- PPP
- 問題
- プログラマ
- プロジェクト
- プロジェクト(実績作品)
- は、大阪で
- パブリッシュ
- 公表
- 置く
- 本当に
- お勧めする
- 記録
- リリース
- 削除します
- 報告
- 倉庫
- 責任
- レビュー
- リスク
- 円形
- ロシア
- 前記
- 同じ
- 二番
- セキュリティ
- 思われる
- と思われる
- 文
- サービス
- ウェブサイト
- So
- 勧誘
- 固体
- 何か
- ソース
- ソースコード
- 話す
- 専門家
- まだ
- 盗まれました
- 保存され
- 店舗
- 文字列
- そのような
- 供給
- サプライチェーン
- SVG
- チーム
- 条件
- より
- それ
- プロジェクト
- ソース
- アプリ環境に合わせて
- それら
- その後
- そこ。
- ボーマン
- 彼ら
- この
- それらの
- しかし?
- <font style="vertical-align: inherit;">回数</font>
- 〜へ
- あまりに
- top
- 投げ捨てる
- トラッカー
- 遷移
- トランスペアレント
- 順番
- 2
- 下
- 未使用
- 更新版
- アップサイド
- 衝動
- URL
- つかいます
- 中古
- users
- 通常
- バージョン
- 、
- 犠牲者
- 欲しいです
- ました
- 仕方..
- 方法
- we
- ウェブ
- 周知
- した
- この試験は
- かどうか
- which
- 誰
- 意志
- 無し
- 世界
- 価値
- でしょう
- 書かれた
- まだ
- 貴社
- あなたの
- ゼファーネット