เราได้เขียนเกี่ยวกับ PHP ระบบนิเวศของนักบรรจุหีบห่อ ก่อน
เช่นเดียวกับ PyPI สำหรับ Pythonistas, Gems สำหรับแฟน ๆ Ruby, NPM สำหรับโปรแกรมเมอร์ JavaScript หรือ LuaRocks สำหรับ Luaphiles, Packagist เป็นพื้นที่เก็บข้อมูลที่ผู้ร่วมสร้างชุมชนสามารถเผยแพร่รายละเอียดของแพ็คเกจ PHP ที่พวกเขาสร้างขึ้น
สิ่งนี้ทำให้ง่ายสำหรับผู้เขียนโค้ด PHP คนอื่นๆ ในการรับรหัสห้องสมุดที่พวกเขาต้องการใช้ในโครงการของตนเอง และเพื่อให้โค้ดนั้นเป็นปัจจุบันโดยอัตโนมัติหากต้องการ
ซึ่งแตกต่างจาก PyPI ซึ่งมีเซิร์ฟเวอร์ของตนเองที่เก็บรหัสไลบรารีจริง (หรือ LuaRocks ซึ่งบางครั้งจัดเก็บซอร์สโค้ดของโครงการเองและบางครั้งก็ลิงก์ไปยังที่เก็บอื่น) Packagist ลิงก์ไปยัง แต่ตัวมันเองไม่ได้เก็บสำเนาของรหัสที่คุณ จำเป็นต้องดาวน์โหลด
การทำเช่นนี้มีข้อดี โดยเฉพาะอย่างยิ่งโครงการที่ได้รับการจัดการผ่านบริการซอร์สโค้ดที่เป็นที่รู้จักเช่น GitHub ไม่จำเป็นต้องเก็บรักษาสำเนาเผยแพร่อย่างเป็นทางการสองชุด ซึ่งช่วยหลีกเลี่ยงปัญหา "การเลื่อนเวอร์ชัน" ระหว่าง ระบบควบคุมซอร์สโค้ดและระบบบรรจุภัณฑ์
และมีข้อเสียโดยเฉพาะอย่างยิ่งคือมีสองวิธีที่แตกต่างกันอย่างหลีกเลี่ยงไม่ได้ที่บรรจุภัณฑ์จะถูกดักจับ
ตัวจัดการแพ็คเกจเองอาจถูกแฮ็กได้ ซึ่งการเปลี่ยน URL เดียวอาจเพียงพอที่จะทำให้ผู้ใช้แพ็คเกจเข้าใจผิดได้
หรือที่เก็บซอร์สโค้ดที่ลิงก์ไปอาจถูกแฮ็กได้ ดังนั้นผู้ใช้ที่ติดตาม URL ที่ดูเหมือนถูกต้องก็จะลงเอยด้วยเนื้อหาหลอกลวงอยู่ดี
บัญชีเก่าถือว่าเป็นอันตราย
โจมตี (เราจะเรียกมันว่าแม้ว่าจะไม่มีการเผยแพร่โค้ดที่ติดกับดักโดยแฮ็กเกอร์ที่เกี่ยวข้องก็ตาม) ใช้สิ่งที่คุณอาจเรียกว่าวิธีการแบบผสมผสาน
ผู้โจมตีพบบัญชี Packagist เก่าและไม่ได้ใช้งาน XNUMX บัญชี ซึ่งพวกเขาต้องการรหัสผ่านสำหรับเข้าสู่ระบบ
จากนั้นพวกเขาระบุโครงการ GitHub 14 โครงการที่เชื่อมโยงโดยบัญชีที่ไม่ได้ใช้งานเหล่านี้และคัดลอกบัญชี GitHub ที่สร้างขึ้นใหม่
สุดท้าย พวกเขาปรับแต่งแพ็คเกจในระบบ Packagist ให้ชี้ไปที่ที่เก็บ GitHub ใหม่
โครงการโคลน GitHub เป็นเรื่องธรรมดาอย่างไม่น่าเชื่อ บางครั้ง นักพัฒนาซอฟต์แวร์ต้องการสร้าง fork ของแท้ (เวอร์ชันสำรอง) ของโครงการภายใต้การจัดการใหม่ หรือเสนอคุณสมบัติที่แตกต่าง ในบางครั้ง โครงการที่แยกส่วนดูเหมือนจะถูกคัดลอกมาเพื่อสิ่งที่อาจเรียกว่า “เหตุผลเชิงปริมาณ” อย่างไม่ยกยอ ทำให้บัญชี GitHub ดูใหญ่ขึ้น ดีขึ้น ยุ่งมากขึ้น และผูกพันกับชุมชนมากขึ้น (ถ้าคุณจะให้อภัยการเล่นสำนวน) มากกว่าที่เป็นอยู่จริงๆ
แม้ว่าแฮ็กเกอร์อาจแทรกโค้ดปลอมลงในซอร์ส GitHub PHP ที่โคลนมา เช่น การเพิ่มตัวติดตาม คีย์ล็อกเกอร์ แบ็คดอร์ หรือมัลแวร์อื่นๆ แต่ดูเหมือนว่าทั้งหมดที่พวกเขาเปลี่ยนแปลงคือรายการเดียวในแต่ละโปรเจ็กต์: ไฟล์ที่เรียกว่า composer.json
.
ไฟล์นี้มีรายการชื่อ description
ซึ่งมักจะมีสิ่งที่คุณคาดว่าจะเห็น: สตริงข้อความที่อธิบายว่าซอร์สโค้ดมีไว้เพื่ออะไร
และนั่นคือทั้งหมดที่แฮ็กเกอร์ของเราแก้ไข โดยเปลี่ยนข้อความจากสิ่งที่ให้ข้อมูล เช่น Project PPP implements the QQQ protocol so you can RRR
เพื่อให้โครงการของพวกเขารายงานแทน:
สร้างโดย XXX@XXXX.com Ищу работу на позиции Application Security, Penetration Tester, ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์
ประโยคที่สองเขียนเป็นภาษารัสเซียครึ่งหนึ่ง เป็นภาษาอังกฤษครึ่งหนึ่ง หมายถึง:
ฉันกำลังมองหางานใน Application Security... เป็นต้น
เราไม่สามารถพูดแทนทุกคนได้ แต่เมื่อ CVs (เรซูเม่) ดำเนินไป เราไม่พบสิ่งนี้ที่น่าเชื่ออย่างยิ่ง
นอกจากนี้ ทีม Packagist กล่าว ว่าการเปลี่ยนแปลงที่ไม่ได้รับอนุญาตทั้งหมดถูกเปลี่ยนกลับแล้ว และโครงการ GitHub ที่โคลน 14 โครงการไม่ได้รับการแก้ไขด้วยวิธีอื่นนอกจากรวมการชักชวนจ้างงานของ pwner
สำหรับสิ่งที่คุ้มค่า บัญชี GitHub ของผู้เชี่ยวชาญด้านความปลอดภัยของแอปพลิเคชันจะยังคงใช้งานได้ และยังคงมีโปรเจ็กต์ที่ "แยก" เหล่านั้นอยู่ในนั้น
เราไม่ทราบว่า GitHub ยังไม่ได้ล้างข้อมูลบัญชีหรือโครงการ หรือเว็บไซต์ตัดสินใจที่จะไม่ลบออกหรือไม่
ท้ายที่สุดแล้ว การฟอร์กโปรเจกต์นั้นเป็นเรื่องธรรมดาและได้รับอนุญาต (อย่างน้อยเงื่อนไขการอนุญาตให้ใช้สิทธิ์ก็อนุญาต) และถึงแม้ว่าการอธิบายโปรเจ็กต์รหัสที่ไม่เป็นอันตรายด้วยข้อความ Pwned by XXXX@XXXX.com
ไม่เป็นประโยชน์ แทบจะไม่ผิดกฎหมายเลย
จะทำอย่างไร?
- อย่าทำเช่นนี้ คุณจะไม่ดึงดูดความสนใจจากนายจ้างที่ถูกต้องตามกฎหมายอย่างแน่นอน และ (หากเราพูดตามตรง) คุณจะไม่แม้แต่จะสร้างความประทับใจให้กับอาชญากรไซเบอร์ที่นั่นเช่นกัน
- อย่าปล่อยให้บัญชีที่ไม่ได้ใช้ทำงานอยู่หากคุณสามารถช่วยได้ อย่างที่เราพูดไปเมื่อวาน วันรหัสผ่านโลกพิจารณาปิดบัญชีที่คุณไม่ต้องการอีกต่อไป ด้วยเหตุผลที่ว่ายิ่งคุณใช้รหัสผ่านน้อยเท่าไหร่ การถูกขโมยก็จะยิ่งน้อยลงเท่านั้น
- อย่าใช้รหัสผ่านซ้ำกับบัญชีมากกว่าหนึ่งบัญชี ข้อสันนิษฐานของ Packagist คือรหัสผ่านที่ใช้ในทางที่ผิดในกรณีนี้อยู่ในบันทึกการละเมิดข้อมูลจากบัญชีอื่นๆ ซึ่งผู้ที่ตกเป็นเหยื่อใช้รหัสผ่านเดียวกับในบัญชี Packagist ของตน
- อย่าลืม 2FA ของคุณ Packagists กระตุ้นให้ผู้ใช้ทั้งหมดเปิดใช้ 2FA ดังนั้นรหัสผ่านเพียงอย่างเดียวจึงไม่เพียงพอที่ผู้โจมตีจะเข้าสู่ระบบบัญชีของคุณ และแนะนำให้ทำเช่นเดียวกันกับบัญชี GitHub ของคุณด้วย
- อย่ายอมรับการอัปเดตซัพพลายเชนสุ่มสี่สุ่มห้าโดยไม่ตรวจสอบความถูกต้อง หากคุณมีเว็บไซต์ที่ซับซ้อนของการขึ้นต่อกันของแพ็คเกจ การละทิ้งหน้าที่ความรับผิดชอบของคุณนั้นเป็นเรื่องยุ่งยากและปล่อยให้ระบบดึงการอัปเดตทั้งหมดของคุณโดยอัตโนมัติ แต่นั่นก็ทำให้คุณและผู้ใช้ดาวน์สตรีมของคุณมีความเสี่ยงเพิ่มเติม
นี่คือคำแนะนำจากวันรหัสผ่านโลก
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตไอสตรีม. ข้อมูลอัจฉริยะ Web3 ขยายความรู้ เข้าถึงได้ที่นี่.
- การสร้างอนาคตโดย Adryenn Ashley เข้าถึงได้ที่นี่.
- ซื้อและขายหุ้นในบริษัท PRE-IPO ด้วย PREIPO® เข้าถึงได้ที่นี่.
- ที่มา: https://nakedsecurity.sophos.com/2023/05/05/php-packagist-supply-chain-poisoned-by-hacker-looking-for-a-job/
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- 1
- 14
- ลด 15%
- 2FA
- a
- เกี่ยวกับเรา
- แน่นอน
- ยอมรับ
- ลงชื่อเข้าใช้
- บัญชี
- ที่ได้มา
- คล่องแคล่ว
- เพิ่ม
- เพิ่มเติม
- คำแนะนำ
- ทั้งหมด
- อนุญาต
- คนเดียว
- ทางเลือก
- แม้ว่า
- an
- และ
- ใด
- การใช้งาน
- ความปลอดภัยของแอปพลิเคชัน
- เข้าใกล้
- เป็น
- รอบ
- AS
- ข้อสมมติ
- At
- ผู้เขียน
- รถยนต์
- อัตโนมัติ
- หลีกเลี่ยง
- แบ็ค
- background-image
- BE
- รับ
- ก่อน
- ดีกว่า
- ระหว่าง
- ที่ใหญ่กว่า
- BleepingComputer
- สุ่มสี่สุ่มห้า
- ชายแดน
- ด้านล่าง
- ช่องโหว่
- แต่
- by
- โทรศัพท์
- ที่เรียกว่า
- CAN
- กรณี
- ศูนย์
- โซ่
- การเปลี่ยนแปลง
- การเปลี่ยนแปลง
- เปลี่ยนแปลง
- ปิด
- รหัส
- สี
- COM
- มุ่งมั่น
- ร่วมกัน
- ชุมชน
- ซับซ้อน
- เกี่ยวข้อง
- พิจารณา
- ถือว่า
- มี
- เนื้อหา
- ผู้ให้
- ควบคุม
- สำเนา
- ได้
- หน้าปก
- สร้าง
- ที่สร้างขึ้น
- CVS
- ไซเบอร์
- การรักษาความปลอดภัยในโลกไซเบอร์
- ข้อมูล
- การละเมิดข้อมูล
- วันที่
- ตัดสินใจ
- อย่างแน่นอน
- รายละเอียด
- นักพัฒนา
- ต่าง
- แสดง
- do
- ไม่
- การทำ
- Dont
- ลง
- ดาวน์โหลด
- ข้อเสีย
- แต่ละ
- ง่าย
- ทั้ง
- นายจ้าง
- การจ้าง
- ปลาย
- ภาษาอังกฤษ
- พอ
- การเข้า
- ฯลฯ
- แม้
- ทุกคน
- เผง
- คาดหวัง
- แฟน ๆ
- คุณสมบัติ
- มนุษย์
- น้อยลง
- เนื้อไม่มีมัน
- หา
- ตาม
- สำหรับ
- ส้อม
- ส้อม
- พบ
- สี่
- ราคาเริ่มต้นที่
- แท้
- ได้รับ
- GitHub
- Go
- ไป
- hacked
- แฮ็กเกอร์
- มี
- ครึ่ง
- มี
- ความสูง
- ช่วย
- จะช่วยให้
- ถือ
- โฉบ
- HTTPS
- เป็นลูกผสม
- i
- ระบุ
- if
- ที่ผิดกฎหมาย
- การดำเนินการ
- in
- ไม่ได้ใช้งาน
- ประกอบด้วย
- รวมถึง
- เหลือเชื่อ
- ย่อม
- ให้ข้อมูล
- แทน
- อยากเรียนรู้
- เข้าไป
- IT
- ITS
- ตัวเอง
- JavaScript
- การสัมภาษณ์
- เพียงแค่
- เก็บ
- ทราบ
- น้อยที่สุด
- ทิ้ง
- ซ้าย
- ถูกกฎหมาย
- ห้องสมุด
- ลิขสิทธิ์
- กดไลก์
- ที่เชื่อมโยง
- การเชื่อมโยง
- สด
- เข้าสู่ระบบ
- เข้าสู่ระบบ
- ดู
- มอง
- ที่ต้องการหา
- เก็บรักษา
- ทำให้
- การทำ
- มัลแวร์
- การจัดการ
- การจัดการ
- ผู้จัดการ
- ขอบ
- ความกว้างสูงสุด
- วิธี
- อาจ
- การแก้ไข
- ข้อมูลเพิ่มเติม
- จำเป็นต้อง
- ใหม่
- ไม่
- ปกติ
- ยวด
- ตอนนี้
- of
- การเสนอ
- เป็นทางการ
- เก่า
- on
- ONE
- or
- อื่นๆ
- ของเรา
- ออก
- ของตนเอง
- แพ็คเกจ
- แพคเกจ
- บรรจุภัณฑ์
- รหัสผ่าน
- รหัสผ่าน
- พอล
- การเจาะ
- PHP
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- ตำแหน่ง
- โพสต์
- พรรคพลังประชาชน
- ปัญหา
- โปรแกรมเมอร์
- โครงการ
- โครงการ
- โปรโตคอล
- ให้
- ประกาศ
- การตีพิมพ์
- ทำให้
- จริงๆ
- แนะนำ
- บันทึก
- สัมพันธ์
- เอาออก
- รายงาน
- กรุ
- ความรับผิดชอบ
- การตรวจสอบ
- ความเสี่ยง
- ปัดเศษ
- รัสเซีย
- กล่าวว่า
- เดียวกัน
- ที่สอง
- ความปลอดภัย
- เห็น
- ดูเหมือน
- ดูเหมือนว่า
- ประโยค
- บริการ
- เดียว
- เว็บไซต์
- So
- การชักชวน
- ของแข็ง
- บางสิ่งบางอย่าง
- แหล่ง
- รหัสแหล่งที่มา
- พูด
- ผู้เชี่ยวชาญ
- ยังคง
- ที่ถูกขโมย
- เก็บไว้
- ร้านค้า
- เชือก
- อย่างเช่น
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- SVG
- ระบบ
- ทีม
- เงื่อนไขการใช้บริการ
- กว่า
- ที่
- พื้นที่
- โครงการ
- ที่มา
- ของพวกเขา
- พวกเขา
- แล้วก็
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- นี้
- เหล่านั้น
- แต่?
- ครั้ง
- ไปยัง
- เกินไป
- ด้านบน
- โยน
- ติดตาม
- การเปลี่ยนแปลง
- โปร่งใส
- กลับ
- สอง
- ภายใต้
- ไม่ได้ใช้
- การปรับปรุง
- กลับหัวกลับหาง
- ขอเรียกร้องให้
- URL
- ใช้
- มือสอง
- ผู้ใช้
- มักจะ
- รุ่น
- ผ่านทาง
- ผู้ที่ตกเป็นเหยื่อ
- ต้องการ
- คือ
- ทาง..
- วิธี
- we
- เว็บ
- โด่งดัง
- คือ
- อะไร
- ว่า
- ที่
- WHO
- จะ
- กับ
- ไม่มี
- โลก
- คุ้มค่า
- จะ
- เขียน
- ยัง
- เธอ
- ของคุณ
- ลมทะเล