- 13,858
- 20
- 8 Ноя 2022
Исследователь потенциально мог заразить более 500 млн. компьютеров вредоносным ПО.
Исследователь под псевдонимом «neskafe3v1» Для просмотра ссылки Войдиили Зарегистрируйся , что он взломал 14 популярных пакетов Packagist. В качестве доказательств специалист показал страницы Packagist для этих пакетов, на которых он изменил репозитории GitHub для каждого пакета на свой. На данный момент команда Packagist отменила все изменения и Для просмотра ссылки Войди или Зарегистрируйся в исходный вид.
Взломанная страница Packagist для пакета «acmephp»
Для публикации пакетов на Packagist разработчику необязательно загружать двоичный файл непосредственно на Packagist.org. Достаточно просто создать учетную запись Packagist.org и указать ссылку на свой репозиторий GitHub для определенного пакета. Затем сканер Packagist посещает предоставленный репозиторий и собирает все данные для отображения на странице Packagist для этого пакета.
При загрузке пакетов с помощью Composer, инструмент по умолчанию выполняет поиск определенного пакета в Packagist извлекает URL-адрес GitHub, указанный на странице Packagist для этого пакета. Затем содержимое пакета загружается из репозитория GitHub.
Изменив страницу Packagist для каждого пакета, исследователь захватил рабочий процесс установки, используемый в средах Composer. Теперь разработчики будут получать содержимое пакета из репозитория «neskafe3v1» на GitHub, а не из репозитория проекта.
Чтобы заявить о том, что специалист ищет работу, он изменил файл «composer.json» в этих пакетах следующим образом:
Исследователь изменил файл «composer.json», чтобы продемонстрировать взлом
Исследователь не раскрыл точный метод взлома, но заявил, что он не использовал 0day-уязвимость – взлом происходил с помощью «известной техники». В результате специалист получил доступ к учетным записям Packagist сопровождающих и изменил URL-адреса GitHub пакетов на URL-адреса своих разветвленных репозиториев.
Затронутые пакеты
Команда Packagist Для просмотра ссылки Войдиили Зарегистрируйся , что до сих пор не наблюдалось злонамеренного воздействия на платформу в результате взлома. Платформа подтвердила, что захват действительно произошел в результате компрометации учетных данных сопровождающих.
В Packagist сказали, что взлом не использовался в каких-либо злонамеренных целях и был ограничен несколькими старыми учетными записями с ненадёжными паролями и отсутствующей двухфакторной аутентификацией. Вероятно, учетные записи использовали общие пароли, просочившиеся в ходе инцидентов на других платформах.
Исследователь под псевдонимом «neskafe3v1» Для просмотра ссылки Войди
Взломанная страница Packagist для пакета «acmephp»
Для публикации пакетов на Packagist разработчику необязательно загружать двоичный файл непосредственно на Packagist.org. Достаточно просто создать учетную запись Packagist.org и указать ссылку на свой репозиторий GitHub для определенного пакета. Затем сканер Packagist посещает предоставленный репозиторий и собирает все данные для отображения на странице Packagist для этого пакета.
При загрузке пакетов с помощью Composer, инструмент по умолчанию выполняет поиск определенного пакета в Packagist извлекает URL-адрес GitHub, указанный на странице Packagist для этого пакета. Затем содержимое пакета загружается из репозитория GitHub.
Изменив страницу Packagist для каждого пакета, исследователь захватил рабочий процесс установки, используемый в средах Composer. Теперь разработчики будут получать содержимое пакета из репозитория «neskafe3v1» на GitHub, а не из репозитория проекта.
Чтобы заявить о том, что специалист ищет работу, он изменил файл «composer.json» в этих пакетах следующим образом:
Исследователь изменил файл «composer.json», чтобы продемонстрировать взлом
Исследователь не раскрыл точный метод взлома, но заявил, что он не использовал 0day-уязвимость – взлом происходил с помощью «известной техники». В результате специалист получил доступ к учетным записям Packagist сопровождающих и изменил URL-адреса GitHub пакетов на URL-адреса своих разветвленных репозиториев.
Затронутые пакеты
Команда Packagist Для просмотра ссылки Войди
В Packagist сказали, что взлом не использовался в каких-либо злонамеренных целях и был ограничен несколькими старыми учетными записями с ненадёжными паролями и отсутствующей двухфакторной аутентификацией. Вероятно, учетные записи использовали общие пароли, просочившиеся в ходе инцидентов на других платформах.
- Источник новости
- www.securitylab.ru
