Ngày 05 tháng 5 năm 2023Ravie LakshmananLập trình / Bảo mật phần mềm
Kho lưu trữ gói phần mềm PHP Packagist tiết lộ rằng một “kẻ tấn công” đã giành được quyền truy cập vào bốn tài khoản không hoạt động trên nền tảng để chiếm quyền điều khiển hơn chục gói với hơn 500 triệu lượt cài đặt cho đến nay.
Nils Adermann của Packagist cho biết: “Kẻ tấn công đã chia nhỏ từng gói và thay thế mô tả gói trong composer.json bằng thông điệp của riêng chúng nhưng không thực hiện bất kỳ thay đổi độc hại nào”. “Các URL của gói sau đó đã được thay đổi để trỏ đến các kho lưu trữ rẽ nhánh.”
Bốn tài khoản người dùng được cho là đã có quyền truy cập vào tổng cộng 14 gói, bao gồm nhiều gói Doctrine. Sự cố xảy ra vào ngày 1 tháng 5 năm 2023. Danh sách đầy đủ các gói bị ảnh hưởng như sau –
acmephp/acmephp acmephp/lõi acmephp/học thuyết ssl/học thuyết-cache-bó-học thuyết/học thuyết-mô-đun/học thuyết-mongo-odm-mô-đun/học thuyết-orm-mô-đun/sổ tăng trưởng khởi tạo/sách tăng trưởng jdorn/file-system-cache jdorn/sql-formatter khanamiryan/qrcode-detector-decoder object-calisthenics/phpcs-calisthenics-rules tga/simhash-php
Nhà nghiên cứu bảo mật Axe Sharma, viết cho Bleeping Computer, tiết lộ rằng những thay đổi này được thực hiện bởi một người thử nghiệm xâm nhập ẩn danh với bút danh “neskafe3v1” nhằm tìm kiếm một công việc.
Tóm lại, chuỗi tấn công có thể sửa đổi trang Packagist cho từng gói này thành kho lưu trữ GitHub trùng tên, thay đổi hiệu quả quy trình cài đặt được sử dụng trong môi trường Composer.
Khai thác thành công có nghĩa là các nhà phát triển tải xuống các gói sẽ nhận được phiên bản rẽ nhánh trái ngược với nội dung thực tế.
Packagist nói rằng không có thay đổi độc hại nào khác được phát tán và tất cả các tài khoản đã bị vô hiệu hóa và các gói của chúng được khôi phục vào ngày 2 tháng 5 năm 2023. Họ cũng khuyến khích người dùng kích hoạt xác thực hai yếu tố (2FA) để bảo mật tài khoản của họ.
“Tất cả bốn tài khoản dường như đã sử dụng mật khẩu chung bị rò rỉ trong các sự cố trước đó trên các nền tảng khác,” Adermann lưu ý. “Xin vui lòng, không sử dụng lại mật khẩu.”
Sự phát triển diễn ra khi công ty bảo mật đám mây Aqua đã xác định được hàng nghìn cơ quan đăng ký và kho phần mềm đám mây bị lộ có chứa hơn 250 triệu hiện vật và hơn 65.000 hình ảnh vùng chứa.
Các cấu hình sai bắt nguồn từ việc kết nối nhầm các cơ quan đăng ký với internet, cho phép truy cập ẩn danh theo thiết kế, sử dụng mật khẩu mặc định và cấp đặc quyền tải lên cho người dùng có thể bị lạm dụng để đầu độc cơ quan đăng ký bằng mã độc.
“Trong một số trường hợp này, quyền truy cập của người dùng ẩn danh cho phép kẻ tấn công tiềm năng lấy được thông tin nhạy cảm, chẳng hạn như bí mật, khóa và mật khẩu, điều này có thể dẫn đến một cuộc tấn công chuỗi cung ứng phần mềm nghiêm trọng và đầu độc vòng đời phát triển phần mềm (SDLC), ” các nhà nghiên cứu Mor Weinberger và Assaf Morag đã tiết lộ vào cuối tháng trước.
