Olemme kirjoittaneet PHP:stä Packagistinen ekosysteemi Ennen.
Kuten PyPI Pythonistalle, Gems Ruby-faneille, NPM JavaScript-ohjelmoijille tai LuaRocks Luaphilesille, Packagist on arkisto, jossa yhteisön avustajat voivat julkaista yksityiskohtia luomistaan PHP-paketteista.
Näin muiden PHP-koodaajien on helppo saada käsiinsä kirjastokoodi, jota he haluavat käyttää omissa projekteissaan, ja pitää koodi automaattisesti ajan tasalla, jos he haluavat.
Toisin kuin PyPI, joka tarjoaa omat palvelimensa, jonne varsinainen kirjastokoodi tallennetaan (tai LuaRocks, joka joskus tallentaa itse projektin lähdekoodin ja joskus linkittää muihin tietovarastoihin), Packagist linkittää, mutta ei itse säilytä kopioita koodista. täytyy ladata.
Tämän tekemisessä on hyvä puoli, varsinkin se, että tunnettujen lähdekoodipalveluiden, kuten GitHubin, kautta hallittujen projektien ei tarvitse ylläpitää kahta kopiota virallisista julkaisuistaan, mikä auttaa välttämään "version ajautumisen" ongelman lähdekoodin ohjausjärjestelmä ja pakkausjärjestelmä.
Ja siinä on huono puoli, erityisesti se, että on väistämättä kaksi eri tapaa, joilla paketit voivat jäädä ansaan.
Itse paketinhallinta voi joutua hakkerointiin, jolloin yhden URL-osoitteen muuttaminen voi riittää paketin käyttäjien ohjaamiseen harhaan.
Tai linkitetty lähdekoodivarasto voi joutua hakkerointiin, jotta oikealta näyttävää URL-osoitetta seuranneet käyttäjät päätyisivät joka tapauksessa petolliseen sisältöön.
Vanhoja tilejä pidetään haitallisina
Tämä hyökkäys (kutsumme sitä sellaiseksi, vaikka kyseinen hakkeri ei julkaissut mitään booby-trapped-koodia) käytti sitä, mitä voisi kutsua hybridilähestymistapaksi.
Hyökkääjä löysi neljä vanhaa ja passiivista Packagist-tiliä, joiden kirjautumissalasanat olivat jollain tapaa hankkineet.
Sitten he tunnistivat 14 GitHub-projektia, joihin nämä passiiviset tilit linkittivät, ja kopioivat ne äskettäin luodulle GitHub-tilille.
Lopuksi he muokkasivat paketteja Packagist-järjestelmässä osoittamaan uusia GitHub-varastoja.
GitHub-projektien kloonaus on uskomattoman yleistä. Joskus kehittäjät haluavat luoda projektista aidon haarukan (vaihtoehtoisen version) uudessa hallinnassa tai tarjota erilaisia ominaisuuksia; toisinaan haarukkaprojektit näyttävät kopioituvan "volumetrisistä syistä", mikä saa GitHub-tilit näyttämään suuremmilta, paremmilta, kiireisemmiltä ja yhteisölle sitoutuneemmilta (jos suokaa anteeksi sanapeli) kuin ne todellisuudessa ovat.
Vaikka hakkeri olisi voinut lisätä roistokoodia kloonattuun GitHub PHP -lähdekoodiin, kuten lisäämällä seurantaohjelmia, näppäinlokeroita, takaovia tai muita haittaohjelmia, näyttää siltä, että he muuttivat vain yhden kohteen kussakin projektissa: tiedoston nimeltä composer.json.
Tämä tiedosto sisältää merkinnän, jonka otsikko on description, joka sisältää yleensä juuri sen, mitä odotat näkeväsi: tekstimerkkijonon, joka kuvaa lähdekoodin tarkoitusta.
Ja siinä kaikki hakkerimme muokkasi, muuttaen tekstin jostain informatiivisesta, kuten Project PPP implements the QQQ protocol so you can RRR, joten heidän projektinsa raportoivat sen sijaan:
Pwned by [sähköposti suojattu]. Ищу работу на позиции Application Security, Penetration Tester, Cyber Security Specialist.
Toinen virke, joka on kirjoitettu puoliksi venäjäksi, puoliksi englanniksi, tarkoittaa:
Etsin työtä sovellusturvallisuudesta jne.
Emme voi puhua kaikkien puolesta, mutta ansioluetteloissa (ansioluetteloissa) emme pitäneet tätä hirveän vakuuttavana.
Myös Packagist-tiimi sanoo että kaikki luvattomat muutokset on nyt peruttu ja että 14 kloonattua GitHub-projektia ei ollut muokattu millään muulla tavalla kuin siten, että ne sisälsivät pwnerin työpaikkapyynnön.
Mitä sen arvoista on, mahdollisen Application Security -asiantuntijan GitHub-tili on edelleen käytössä, ja siinä on edelleen ne "haarukka"-projektit.
Emme tiedä, eikö GitHub ole vielä ehtinyt poistaa tiliä tai projekteja vai onko sivusto päättänyt olla poistamatta niitä.
Loppujen lopuksi haaroitteleminen on yleistä ja sallittua (kun lisenssiehdot ainakin sallivat), ja vaikka se kuvaa ei-haitallista koodiprojektia tekstillä Pwned by [email protected] on hyödytöntä, se tuskin on laitonta.
Mitä tehdä?
- Älä tee tätä. Et todellakaan tule herättämään minkään laillisen työnantajan kiinnostusta, etkä (jos olemme rehellisiä) myöskään tee vaikutusta mihinkään kyberrikolliseen.
- Älä jätä käyttämättömiä tilejä aktiiviseksi, jos voit auttaa. Kuten sanoimme eilen Maailman salasanapäivä, harkitse tarpeettomien tilien sulkemista sillä perusteella, että mitä vähemmän salasanoja sinulla on käytössä, sitä vähemmän varastetaan.
- Älä käytä salasanoja uudelleen useammalla kuin yhdellä tilillä. Packagistin oletuksena on, että tässä tapauksessa väärin käytetyt salasanat olivat muiden tilien tietomurtotietueissa, joissa uhrit olivat käyttäneet samaa salasanaa kuin Packagist-tilillä.
- Älä unohda 2FA:ta. Packagists kehottaa kaikkia omia käyttäjiään ottamaan 2FA:n käyttöön, joten pelkkä salasana ei riitä hyökkääjälle kirjautumaan tilillesi, ja suosittelee tekemään samoin myös GitHub-tililläsi.
- Älä hyväksy sokeasti toimitusketjun päivityksiä tarkistamatta niiden oikeellisuutta. Jos sinulla on monimutkainen pakettiriippuvuuksien verkko, on houkuttelevaa heittää vastuut syrjään ja antaa järjestelmän hakea kaikki päivityksesi automaattisesti, mutta se vain asettaa sinut ja jatkokäyttäjäsi lisäriskiin.
TÄSSÄ NE NEUVOT MAAILMAN SALASANA PÄIVÄLTÄ
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
- Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
- Osta ja myy osakkeita PRE-IPO-yhtiöissä PREIPO®:lla. Pääsy tästä.
- Lähde: https://nakedsecurity.sophos.com/2023/05/05/php-packagist-supply-chain-poisoned-by-hacker-looking-for-a-job/
