我们写过关于 PHP 的 Packagist生态系统 过。
就像 Pythonistas 的 PyPI、Ruby 爱好者的 Gems、JavaScript 程序员的 NPM 或 Luaphiles 的 LuaRocks 一样,Packagist 是一个存储库,社区贡献者可以在其中发布他们创建的 PHP 包的详细信息。
这使得其他 PHP 编码人员可以轻松获得他们想要在自己的项目中使用的库代码,并在他们愿意时自动保持该代码最新。
与 PyPI 不同,PyPI 提供自己的服务器来存储实际的库代码(或 LuaRocks,有时存储项目源代码本身,有时链接到其他存储库),Packagist 链接到,但本身并不保留您的代码的副本需要下载。
这样做有一个好处,特别是通过 GitHub 等知名源代码服务管理的项目不需要维护其正式版本的两个副本,这有助于避免版本之间的“版本漂移”问题。源代码控制系统和打包系统。
并且有一个缺点,值得注意的是,包裹不可避免地有两种不同的方式被诱杀。
包管理器本身可能会遭到黑客攻击,更改单个 URL 就足以误导包的用户。
或者链接到的源代码存储库可能会遭到黑客攻击,因此遵循看似正确 URL 的用户无论如何都会以流氓内容告终。
旧帐户被认为是有害的
本篇 攻击 (我们会这样称呼它,即使相关黑客没有发布诱杀代码)使用了您可能称之为混合方法的方法。
攻击者找到了四个旧的、不活跃的 Packagist 帐户,他们以某种方式获取了这些帐户的登录密码。
然后,他们确定了 14 个由这些非活动帐户链接到的 GitHub 项目,并将它们复制到一个新创建的 GitHub 帐户。
最后,他们调整了 Packagist 系统中的包以指向新的 GitHub 存储库。
克隆 GitHub 项目非常普遍。 有时,开发人员希望在新的管理下创建项目的真正分支(替代版本),或提供不同的功能; 在其他时候,分叉的项目似乎被复制是因为所谓的“体积原因”,这可能会让人觉得不讨人喜欢,这使得 GitHub 帐户看起来比实际情况更大、更好、更忙并且更致力于社区(如果你能原谅双关语的话)。
尽管黑客可能已将流氓代码插入到克隆的 GitHub PHP 源代码中,例如添加跟踪器、键盘记录器、后门或其他恶意软件,但他们似乎只更改了每个项目中的一个项目:一个名为 composer.json
.
该文件包含一个名为 description
,它通常包含您期望看到的内容:描述源代码用途的文本字符串。
这就是我们的黑客修改的所有内容,从提供信息的内容中更改文本,比如 Project PPP implements the QQQ protocol so you can RRR
,因此他们的项目反而报告:
由 XXX@XXXX.com 拥有。 Ищу работу на позиции 应用程序安全、渗透测试仪、网络安全专家。
第二句一半用俄语,一半用英语写成,意思是:
我正在寻找应用程序安全方面的工作......等等。
我们不能代表所有人,但随着 CV(简历)的发展,我们发现这不是很有说服力。
此外, 包装师团队说 所有未经授权的更改现在都已还原,并且 14 个克隆的 GitHub 项目除了包含 pwner 的招聘信息外没有以任何其他方式进行修改。
值得一提的是,未来的应用程序安全专家的 GitHub 帐户仍然有效,并且仍然有那些“分叉”的项目。
我们不知道 GitHub 是否还没有决定删除帐户或项目,或者该网站是否决定不删除它们。
毕竟,分叉项目是司空见惯且被允许的(至少在许可条款允许的情况下),尽管用文本描述了一个非恶意代码项目 Pwned by XXXX@XXXX.com
没有帮助,这几乎不违法。
怎么办呢?
- 不要这样做。 你绝对不会吸引任何合法雇主的兴趣,而且(如果我们说实话)你甚至不会给那里的任何网络骗子留下深刻印象。
- 如果可以的话,不要让未使用的帐户处于活动状态。 正如我们昨天所说 世界密码日,考虑关闭您不再需要的帐户,理由是您使用的密码越少,被盗的可能性就越小。
- 不要在多个帐户上重复使用密码。 Packagist 的假设是,在这种情况下被滥用的密码存在于其他帐户的数据泄露记录中,受害者在这些帐户中使用了与 Packagist 帐户相同的密码。
- 不要忘记您的 2FA。 Packagists 敦促它自己的所有用户打开 2FA,因此仅凭密码不足以让攻击者登录您的帐户,并建议在您的 GitHub 帐户上也这样做。
- 不要盲目接受供应链更新而不检查它们的正确性。 如果你有一个复杂的包依赖网络,你很想把你的责任抛到一边,让系统自动获取你的所有更新,但这只会让你和你的下游用户面临额外的风险。
这是来自世界密码日的建议
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
- 与 Adryenn Ashley 一起铸造未来。 访问这里。
- 使用 PREIPO® 买卖 PRE-IPO 公司的股票。 访问这里。
- Sumber: https://nakedsecurity.sophos.com/2023/05/05/php-packagist-supply-chain-poisoned-by-hacker-looking-for-a-job/
- :具有
- :是
- :不是
- :在哪里
- $UP
- 1
- 14
- 15%
- 2FA
- a
- 关于
- 绝对
- 接受
- 账号管理
- 账户
- 后天
- 要积极。
- 添加
- 额外
- 忠告
- 所有类型
- 让
- 单
- 替代
- 尽管
- an
- 和
- 任何
- 应用领域
- 应用安全
- 的途径
- 保健
- 围绕
- AS
- 假设
- At
- 作者
- 汽车
- 自动
- 避免
- 后门程序
- 背景图像
- BE
- 很
- before
- 更好
- 之间
- 大
- BleepingComputer
- 盲目
- 边界
- 半身裙/裤
- 违反
- 但是
- by
- 呼叫
- 被称为
- CAN
- 案件
- Center
- 链
- 变
- 更改
- 改变
- 关闭
- 码
- 颜色
- COM的
- 提交
- 相当常见
- 社体的一部分
- 复杂
- 关心
- 考虑
- 考虑
- 包含
- 内容
- 贡献者
- 控制
- 副本
- 可以
- 外壳
- 创建信息图
- 创建
- CVS
- 网络
- 网络安全
- data
- 数据泄露
- 日期
- 决定
- 无疑
- 详情
- 开发
- 不同
- 屏 显:
- do
- 不会
- 做
- 别
- 向下
- 下载
- 缺点
- 每
- 易
- 或
- 雇主
- 雇用
- 结束
- 英语
- 更多
- 条目
- 等
- 甚至
- 每个人
- 究竟
- 期望
- 球迷
- 特征
- 同伴
- 少
- 文件
- 找到最适合您的地方
- 其次
- 针对
- 叉
- 分叉
- 发现
- 四
- 止
- 真正
- 得到
- GitHub上
- Go
- 去
- 至少从2010年开始,
- 黑客
- 民政事务总署
- 半
- 有
- 高度
- 帮助
- 帮助
- 举行
- 徘徊
- HTTPS
- 杂交种
- i
- 确定
- if
- 不法
- 器物
- in
- 不活跃
- 包括
- 包括
- 令人难以置信
- 必将
- 信息
- 代替
- 兴趣
- 成
- IT
- 它的
- 本身
- JavaScript的
- 工作
- 只是
- 保持
- 知道
- 最少
- 离开
- 左
- 合法
- 自学资料库
- 许可证
- 喜欢
- 链接
- 链接
- 生活
- 日志
- 登录
- 看
- 看着
- 寻找
- 保持
- 制作
- 制作
- 恶意软件
- 管理
- 颠覆性技术
- 经理
- 余量
- 最大宽度
- 手段
- 可能
- 改性
- 更多
- 需求
- 全新
- 没有
- 正常
- 特别是
- 现在
- of
- 提供
- 官方
- 老
- on
- 一
- or
- 其他名称
- 我们的
- 输出
- 己
- 包
- 包
- 包装
- 密码
- 密码
- 保罗
- 渗透
- PHP
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 位置
- 帖子
- PPP
- 市场问题
- 程序员
- 项目
- 项目
- 协议
- 提供
- 发布
- 出版
- 认沽期权
- 真
- 建议
- 记录
- 发布
- 去掉
- 报道
- 知识库
- 责任
- 回顾
- 风险
- 圆
- 俄语
- 说
- 同
- 其次
- 保安
- 看到
- 似乎
- 似乎
- 句子
- 特色服务
- 单
- 网站
- So
- 招揽
- 固体
- 东西
- 来源
- 源代码
- 说话
- 专家
- 仍
- 被盗
- 存储
- 商店
- 串
- 这样
- 供应
- 供应链
- SVG的
- 系统
- 团队
- 条款
- 比
- 这
- 项目
- 其
- 他们
- 然后
- 那里。
- 博曼
- 他们
- Free Introduction
- 那些
- 虽然?
- 时
- 至
- 也有
- 最佳
- 折腾
- 跟踪器
- 过渡
- 透明
- 转
- 二
- 下
- 未使用
- 最新动态
- 上边
- 冲动
- 网址
- 使用
- 用过的
- 用户
- 平时
- 版本
- 通过
- 受害者
- 想
- 是
- 方法..
- 方法
- we
- 卷筒纸
- 知名
- 为
- 什么是
- 是否
- 这
- WHO
- 将
- 也完全不需要
- 世界
- 价值
- 将
- 书面
- 但
- 您
- 您一站式解决方案
- 和风网