{"id":720170,"date":"2023-05-05T20:10:28","date_gmt":"2023-05-05T22:10:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/packagist-repository-pirate-plus-dune-douzaine-de-packages-php-et-500-millions-compromis\/"},"modified":"2023-05-05T20:10:31","modified_gmt":"2023-05-05T22:10:31","slug":"packagist-repository-pirate-plus-dune-douzaine-de-packages-php-et-500-millions-compromis","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/packagist-repository-pirate-plus-dune-douzaine-de-packages-php-et-500-millions-compromis\/","title":{"rendered":"Packagist Repository pirat\u00e9\u00a0: plus d&#8217;une douzaine de packages PHP et 500\u00a0millions compromis"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">05 mai 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Programmation \/ S\u00e9curit\u00e9 logicielle<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Le r\u00e9f\u00e9rentiel de packages logiciels PHP Packagist a r\u00e9v\u00e9l\u00e9 qu&#8217;un &#8220;attaquant&#8221; avait eu acc\u00e8s \u00e0 quatre comptes inactifs sur la plate-forme pour d\u00e9tourner plus d&#8217;une douzaine de packages avec plus de 500 millions d&#8217;installations \u00e0 ce jour.<\/p>\n<p>&#8220;L&#8217;attaquant a d\u00e9riv\u00e9 chacun des packages et a remplac\u00e9 la description du package dans composer.json par son propre message, mais n&#8217;a apport\u00e9 aucune autre modification malveillante&#8221;, d\u00e9clare Nils Adermann de Packagist. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.packagist.com\/packagist-org-maintainer-account-takeover\/\" target=\"_blank\">a dit<\/a>.  &#8220;Les URL des packages ont ensuite \u00e9t\u00e9 modifi\u00e9es pour pointer vers les r\u00e9f\u00e9rentiels fourchus.&#8221;<\/p>\n<p>Les quatre comptes d&#8217;utilisateurs auraient eu acc\u00e8s \u00e0 un total de 14 packages, dont plusieurs packages Doctrine.  L&#8217;incident a eu lieu le 1er mai 2023. La liste compl\u00e8te des colis impact\u00e9s est la suivante &#8211;<\/p>\n<ul>\n<li>acmephp\/acmephp<\/li>\n<li>acmephp\/core<\/li>\n<li>acmephp\/ssl<\/li>\n<li>doctrine\/doctrine-cache-bundle<\/li>\n<li>doctrine\/doctrine-module<\/li>\n<li>doctrine\/doctrine-mongo-odm-module<\/li>\n<li>doctrine\/doctrine-orm-module<\/li>\n<li>doctrine\/instanciateur<\/li>\n<li>carnet de croissance \/ carnet de croissance<\/li>\n<li>jdorn\/file-system-cache<\/li>\n<li>jdorn\/sql-formatter<\/li>\n<li>khanamiryan\/qrcode-d\u00e9tecteur-d\u00e9codeur<\/li>\n<li>object-calisthenics\/phpcs-calisthenics-rules<\/li>\n<li>tga\/simhash-php<\/li>\n<\/ul>\n<p>Le chercheur en s\u00e9curit\u00e9 Ax Sharma, \u00e9crivant pour Bleeping Computer, <a rel=\"nofollow noopener\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/researcher-hijacks-popular-packagist-php-packages-to-get-a-job\/\" target=\"_blank\">r\u00e9v\u00e9l\u00e9<\/a> que les modifications ont \u00e9t\u00e9 apport\u00e9es par un testeur d&#8217;intrusion anonyme avec le pseudonyme &#8220;neskafe3v1&#8221; dans le but de d\u00e9crocher un emploi.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tr60percentstatic-inside-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1682937111_165_Un-acteur-vietnamien-de-la-menace-infecte-500-000-appareils.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La cha\u00eene d&#8217;attaque, en un mot, a permis de modifier la page Packagist pour chacun de ces packages en un r\u00e9f\u00e9rentiel GitHub homonyme, modifiant ainsi le flux de travail d&#8217;installation utilis\u00e9 dans les environnements Composer. <\/p>\n<p>Une exploitation r\u00e9ussie signifiait que les d\u00e9veloppeurs t\u00e9l\u00e9chargeant les packages obtiendraient la version fourchue par opposition au contenu r\u00e9el.<\/p>\n<p>Packagist a d\u00e9clar\u00e9 qu&#8217;aucune modification malveillante suppl\u00e9mentaire n&#8217;avait \u00e9t\u00e9 distribu\u00e9e et que tous les comptes avaient \u00e9t\u00e9 d\u00e9sactiv\u00e9s et leurs packages restaur\u00e9s le 2 mai 2023. Il exhorte \u00e9galement les utilisateurs \u00e0 activer l&#8217;authentification \u00e0 deux facteurs (2FA) pour s\u00e9curiser leurs comptes.<\/p>\n<p>&#8220;Les quatre comptes semblent avoir utilis\u00e9 des mots de passe partag\u00e9s divulgu\u00e9s lors d&#8217;incidents pr\u00e9c\u00e9dents sur d&#8217;autres plates-formes&#8221;, a not\u00e9 Adermann.  &#8220;S&#8217;il vous pla\u00eet, ne r\u00e9utilisez pas les mots de passe.&#8221;<\/p>\n<p>Le d\u00e9veloppement intervient alors que la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 cloud Aqua a identifi\u00e9 des milliers de registres et de r\u00e9f\u00e9rentiels de logiciels cloud expos\u00e9s contenant plus de 250 millions d&#8217;artefacts et plus de 65 000 images de conteneurs.<\/p>\n<p>Les erreurs de configuration proviennent de la connexion par erreur des registres \u00e0 Internet, de l&#8217;autorisation d&#8217;un acc\u00e8s anonyme par conception, de l&#8217;utilisation de mots de passe par d\u00e9faut et de l&#8217;octroi de privil\u00e8ges de t\u00e9l\u00e9chargement aux utilisateurs qui pourraient \u00eatre abus\u00e9s pour empoisonner le registre avec du code malveillant.<\/p>\n<p>&#8220;Dans certains de ces cas, l&#8217;acc\u00e8s anonyme des utilisateurs a permis \u00e0 un attaquant potentiel d&#8217;obtenir des informations sensibles, telles que des secrets, des cl\u00e9s et des mots de passe, ce qui pourrait entra\u00eener une grave attaque de la cha\u00eene d&#8217;approvisionnement logicielle et un empoisonnement du cycle de vie du d\u00e9veloppement logiciel (SDLC). &#8221; les chercheurs Mor Weinberger et Assaf Morag <a rel=\"nofollow noopener\" href=\"https:\/\/blog.aquasec.com\/250m-artifacts-exposed-via-misconfigured-registries\" target=\"_blank\">divulgu\u00e9<\/a> tard le mois dernier.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/packagist-repository-hacked-over-dozen.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80205 mai 2023\ue804Ravie LakshmananProgrammation \/ S\u00e9curit\u00e9 logicielle Le r\u00e9f\u00e9rentiel de packages logiciels PHP Packagist a r\u00e9v\u00e9l\u00e9 qu&#8217;un &#8220;attaquant&#8221; avait eu acc\u00e8s \u00e0 quatre comptes inactifs sur la plate-forme pour d\u00e9tourner plus d&#8217;une douzaine de packages avec plus de 500 millions d&#8217;installations \u00e0 ce jour. &#8220;L&#8217;attaquant a d\u00e9riv\u00e9 chacun des packages et a remplac\u00e9 la description [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":720171,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[160673,4168,20350,4158,4165,4161,30473,1326,4157,4159,4171,4170,4167,4160,4163,4162,7309,114290,41463,6644,160672,4172,4169,4166,4164],"class_list":["post-720170","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-500millions","tag-comment-pirater","tag-compromis","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-douzaine","tag-dune","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-packages","tag-packagist","tag-php","tag-pirate","tag-repository","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/720170","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=720170"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/720170\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/720171"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=720170"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=720170"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=720170"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}