Le référentiel de packages logiciels PHP Packagist a révélé qu’un « attaquant » avait eu accès à quatre comptes inactifs sur la plate-forme pour détourner plus d’une douzaine de packages avec plus de 500 millions d’installations à ce jour.
« L’attaquant a dérivé chacun des packages et a remplacé la description du package dans composer.json par son propre message, mais n’a apporté aucune autre modification malveillante », déclare Nils Adermann de Packagist. a dit. « Les URL des packages ont ensuite été modifiées pour pointer vers les référentiels fourchus. »
Les quatre comptes d’utilisateurs auraient eu accès à un total de 14 packages, dont plusieurs packages Doctrine. L’incident a eu lieu le 1er mai 2023. La liste complète des colis impactés est la suivante –
- acmephp/acmephp
- acmephp/core
- acmephp/ssl
- doctrine/doctrine-cache-bundle
- doctrine/doctrine-module
- doctrine/doctrine-mongo-odm-module
- doctrine/doctrine-orm-module
- doctrine/instanciateur
- carnet de croissance / carnet de croissance
- jdorn/file-system-cache
- jdorn/sql-formatter
- khanamiryan/qrcode-détecteur-décodeur
- object-calisthenics/phpcs-calisthenics-rules
- tga/simhash-php
Le chercheur en sécurité Ax Sharma, écrivant pour Bleeping Computer, révélé que les modifications ont été apportées par un testeur d’intrusion anonyme avec le pseudonyme « neskafe3v1 » dans le but de décrocher un emploi.
La chaîne d’attaque, en un mot, a permis de modifier la page Packagist pour chacun de ces packages en un référentiel GitHub homonyme, modifiant ainsi le flux de travail d’installation utilisé dans les environnements Composer.
Une exploitation réussie signifiait que les développeurs téléchargeant les packages obtiendraient la version fourchue par opposition au contenu réel.
Packagist a déclaré qu’aucune modification malveillante supplémentaire n’avait été distribuée et que tous les comptes avaient été désactivés et leurs packages restaurés le 2 mai 2023. Il exhorte également les utilisateurs à activer l’authentification à deux facteurs (2FA) pour sécuriser leurs comptes.
« Les quatre comptes semblent avoir utilisé des mots de passe partagés divulgués lors d’incidents précédents sur d’autres plates-formes », a noté Adermann. « S’il vous plaît, ne réutilisez pas les mots de passe. »
Le développement intervient alors que la société de sécurité cloud Aqua a identifié des milliers de registres et de référentiels de logiciels cloud exposés contenant plus de 250 millions d’artefacts et plus de 65 000 images de conteneurs.
Les erreurs de configuration proviennent de la connexion par erreur des registres à Internet, de l’autorisation d’un accès anonyme par conception, de l’utilisation de mots de passe par défaut et de l’octroi de privilèges de téléchargement aux utilisateurs qui pourraient être abusés pour empoisonner le registre avec du code malveillant.
« Dans certains de ces cas, l’accès anonyme des utilisateurs a permis à un attaquant potentiel d’obtenir des informations sensibles, telles que des secrets, des clés et des mots de passe, ce qui pourrait entraîner une grave attaque de la chaîne d’approvisionnement logicielle et un empoisonnement du cycle de vie du développement logiciel (SDLC). » les chercheurs Mor Weinberger et Assaf Morag divulgué tard le mois dernier.