
El repositorio de paquetes de software PHP Packagist reveló que un “atacante” obtuvo acceso a cuatro cuentas inactivas en la plataforma para secuestrar más de una docena de paquetes con más de 500 millones de instalaciones hasta la fecha.
“El atacante bifurcó cada uno de los paquetes y reemplazó la descripción del paquete en composer.json con su propio mensaje, pero no realizó ningún otro cambio malicioso”, Nils Adermann de Packagist. dicho. “Las URL del paquete se cambiaron para apuntar a los repositorios bifurcados”.
Se dice que las cuatro cuentas de usuario tuvieron acceso a un total de 14 paquetes, incluidos varios paquetes de Doctrine. El incidente tuvo lugar el 1 de mayo de 2023. La lista completa de paquetes afectados es la siguiente:
- acmephp/acmephp
- acmephp/núcleo
- acmephp/ssl
- doctrina/doctrina-caché-paquete
- doctrina/doctrina-módulo
- doctrina/doctrina-mongo-odm-módulo
- doctrina/doctrina-orm-módulo
- doctrina/instanciador
- libro de crecimiento/libro de crecimiento
- jdorn/archivo-sistema-caché
- jdorn/sql-formateador
- khanamiryan/qrcode-detector-decodificador
- objeto-calistenia/phpcs-calistenia-reglas
- tga/simhash-php
El investigador de seguridad Ax Sharma, que escribe para Bleeping Computer, reveló que los cambios fueron realizados por un probador de penetración anónimo con el seudónimo “neskafe3v1” en un intento de conseguir un trabajo.
La cadena de ataque, en pocas palabras, hizo posible modificar la página de Packagist para cada uno de estos paquetes a un repositorio de GitHub del mismo nombre, alterando efectivamente el flujo de trabajo de instalación utilizado en los entornos de Composer.
La explotación exitosa significaba que los desarrolladores que descargaran los paquetes obtendrían la versión bifurcada en lugar del contenido real.
Packagist dijo que no se distribuyeron cambios maliciosos adicionales y que todas las cuentas se deshabilitaron y sus paquetes se restauraron el 2 de mayo de 2023. También insta a los usuarios a habilitar la autenticación de dos factores (2FA) para proteger sus cuentas.
“Las cuatro cuentas parecen haber estado usando contraseñas compartidas filtradas en incidentes anteriores en otras plataformas”, señaló Adermann. “Por favor, no reutilice las contraseñas”.
El desarrollo se produce cuando la empresa de seguridad en la nube Aqua identificó miles de registros y repositorios de software en la nube expuestos que contienen más de 250 millones de artefactos y más de 65,000 imágenes de contenedores.
Las configuraciones incorrectas se derivan de la conexión errónea de los registros a Internet, lo que permite el acceso anónimo por diseño, el uso de contraseñas predeterminadas y la concesión de privilegios de carga a los usuarios que podrían ser objeto de abuso para envenenar el registro con código malicioso.
“En algunos de estos casos, el acceso de usuarios anónimos permitió a un atacante potencial obtener información confidencial, como secretos, claves y contraseñas, lo que podría provocar un ataque grave a la cadena de suministro de software y el envenenamiento del ciclo de vida de desarrollo de software (SDLC), investigadores Mor Weinberger y Assaf Morag revelado a finales del mes pasado.






