Bir araştırmacı, bir düzineden fazla paketçi paketi kaçırdı - bazıları yaşamları boyunca yüz milyonlarca kez kurulmuştu.
Araştırmacı, bu paketleri kaçırarak bir iş bulmayı umduğunu belirten BleepingComputer'a ulaştı. Ve bunun işe yarayacağından oldukça emin görünüyor.
Dün, takma adı 'neskafe3v1' olan bir araştırmacı, on dört paket paketi aldığını belirten BleepingComputer'a ulaştı ve bunlardan biri 500 milyondan fazla kurulum yaptı.
Packagist, bir bağımlılık yönetim aracı olan besteci aracılığıyla yüklenebilen PHP paketlerinin birincil kaydıdır. Packagist, bu paketleri barındırmak yerine, GitHub'a yayınlanan açık kaynak paketlerini toplayan bir meta veri dizini olarak hizmet vermektedir. Bu paketler daha sonra besteci yükleme komutunu çalıştırarak makinelerine geliştiriciler tarafından yüklenebilir.
Kaçırılan paketlerin adları şunları içerir:
Araştırmacı, BleepingComputer'a, 1 Mayıs Pazartesi günü, bu paketler için paketçi sayfaların, her paket için meşru Github deposunun aksine araştırmacının (sahte) repo'ya işaret edecek şekilde değiştirildiğini gösteren kanıt sağladı.
Örnek olarak, ACMEPHP paketi için Packagist sayfasının Pazartesi günü nasıl göründüğü - GitHub bağlantısı ile otantik github.com/acmephp/acmephp yerine araştırmacının reposuna değişti.
Bu değişiklikler artık BleepingComputer tarafından kontrol edildiği gibi paket ekibi tarafından geri döndü.
Packagist hakkında yayınlama süreci NPM veya PYPI gibi açık kaynak depolarından biraz farklıdır. Bir geliştirici, doğrudan Packagist.org adresine ikili dosyaları veya yazılım sürümlerini yüklemenin aksine, sadece bir packagist.org hesabı oluşturur ve belirli bir paket için GitHub repo'larına bir bağlantı gönderir. Packagist'in paletli daha sonra sağlanan repoyu ziyaret eder ve bu paket için Packagist sayfasında görüntülemek için tüm verileri toplar.
Bir geliştirici besteciyi 'yükleme' veya 'güncelleme' komutlarıyla çalıştırdığında, besteci örneği ilk olarak paketlerin yerel olarak varlığını arayabilir, bu paket için Packagist üzerinde arama yapmayı ve bu paket için listelenen GitHub URL'sini almayı arayabilir. . Paketin içeriği daha sonra paketin Packagist sayfasında listelenen bu GitHub Repo'dan indirilir.
Bu, NPM veya PYPI'nin nasıl çalıştığının tam tersidir - yani, bu kayıtlar yazılım sürümlerini doğrudan sunucularından barındırır ve dağıtır.
Araştırmacı, bu paketlerin her biri için paketçi sayfasını değiştirerek, besteci ortamlarda kullanılan kurulum iş akışını etkin bir şekilde ele geçirdi. Geliştiriciler artık projenin deposu yerine Neskafe3v1'in GitHub Repo'sundan bir paketin içeriğini alacaklardı.
Gösteriyi minimumda tutmak için, araştırmacı sadece besteci.json dosyasını değiştirdi - bu paketlerin içinde bir uygulama tezahürüne benzeyen bir şey, şunları okumak için:
"Neskafe3v1 tarafından atıldı .... Uygulama güvenliği, penetrasyon test cihazı, siber güvenlik uzmanı pozisyonunda bir iş arıyorum."
Bunu orijinal proje deposunu zorlayarak, composer.json içindeki "açıklama" alanını değiştirerek ve değişimi çatal deposuna taahhüt ederek yaptı. Hiçbir noktada değişiklikleri orijinal depoya geri birleştirmedi (bunu yapmak, ek erişim ve muhtemelen bakıcıların davet edilmesi gerekmezdi).
Bunun yerine, araştırmacı görünüşe göre bakıcıların paketleme hesaplarına erişti ve Github URL'lerini listelenen paketlere çatal depolarına değiştirdi. Ancak, BleepingComputer'a kaçırma için kullanılan tam yöntemi ortaya çıkarmadı.
BleepingComputer tarafından araştırmacının bu paketleri kaçırmak için kullandığı kesin tekniği ortaya çıkarmak için basıldığında, bunun bir sıfır gün değil, bilinen bir teknik olduğu söylendi. Ancak, korsanlığın, örneğin kimlik bilgilerinin uzlaşması, süresi dolmuş alandan dolayı bakımcının e -posta adresinin devralınması veya başka bir teknikle ulaşılıp ulaşılmadığı söylenmedi:
"Gördüğünüz gibi, bir iş arıyorum (bu mesaj 'ищщ работov нозици ...' '' Bir iş arıyorum ... 'anlamına geliyor), bu yüzden olacağımdan sonra bir rapor açıklayacağım Bazı şirketler tarafından işe alındı, "araştırmacı BleepingComputer'a, tüm kaçırma kampanyasını" kendimin bir çalışan olarak reklamına "benzeterek söyledi.
"Başarı olana kadar konuşacak hiçbir şey yok."
BleepingComputer'a yaptığı açıklamada, paketleme ekibi, bu eylemin bir sonucu olarak platformda şimdiye kadar hiçbir kötü niyetli etkinin gözlenmediğini, devralmayı onaylamanın gerçekten de koruyucu hesaplarının kimlik bilgilerinin uzlaşmasından kaynaklandığını söyledi.
Orijinal besteci geliştiricilerinden biri olan Packagist.org'dan Nils Aderman, "Bildiğimiz kadarıyla bu kötü niyetli amaçlar için kullanılmadı ve güvensiz şifreleri ve 2 faktörlü kimlik doğrulaması eksik olan birkaç eski hesapla sınırlıydı." Dedi. .
Packagist yöneticileri, "Dört hesabın tümü, önceki olaylarda diğer platformlarda sızan paylaşılan şifreleri kullanıyor gibi görünüyor. Lütfen parolaları yeniden kullanmayın."
"2 Mayıs'ta sabah 7: 21'de UTC'de Juha Suni tarafından URL'nin birden fazla doktrin paketine geçişi hakkında bilgilendirildik."
Marco Pivetta aka Ocramius ile birlikte çalışan Packagist yöneticiler, erişilen tüm hesapları derhal tanımladı, bunlara erişimi devre dışı bıraktı ve GitHub URL'lerini eski değerlerine geri yükledi. Restorasyon çabası Salı sabahı tamamlandı.
Araştırmacı ayrıca BleepingComputer'a, kötü amaçlı yazılım dağıtmak için tekniği kötüye kullanmadığını söyledi, ancak aynı zamanda, paketleyiciyi ya da küçük deneyin paket sahiplerini bilgilendirmediğini söyledi - bu araştırma.
"Yaptığım tek şey - Composer.json dosyalarındaki 'açıklama' alanını değiştirdim," dedi araştırmacı bizi Git taahhütleri gibi kanıtlara işaret ediyor.
"Github.com/acmephp/core'dan (orijinal) bağlantıyı yeni değiştirdim ... Çatalım yok. Kötü amaçlı yazılım yok, orijinal dosyaları benimkine ayırabilirsiniz. Saldırıdan kimseye bildirmedim, ne paketçi yöneticiler ne de paket sahipleri. "
Blog yazılarında, Packagist yöneticileri araştırmacıların hataları ve vulnoabilties'i sorumlu bir şekilde rapor etmelerini istiyor.
"Bir güvenlik araştırmacıysanız ve bir packagist.org güvenlik açığını biliyorsanız veya packagist.org üzerinde araştırma yapmak istiyorsanız, sizden olumsuz kullanıcı etkisini önlemek ve bu güvenlik açıklarını sorumlu bir şekilde ifşa etmek için testleri bizimle koordine etmenizi istiyoruz."
"Bize security@packagist.org adresinden ulaşabilirsiniz ve tüm isteklere veya raporlara derhal cevap veriyoruz. Tabii ki bildirilen güvenlik açıklarının kredi ve ayrıntılarını yayınlıyoruz ..."
GitHub artık özel güvenlik açığı raporunun ölçekte etkinleştirilmesini sağlıyor
Kubernetes RBAC, kalıcı küme arka kapıları yaratmak için istismar etti
Saldırganlar Backdoor web sitelerine terk edilmiş WordPress eklentisini kullanıyor
BGP'nin kaçırılmasını önlemek için RPKI kullanacak tüm Hollandalı Govt ağları
Github Copilot Güncellemesi AI modelinin sırları açığa çıkarmasını durdurur
Kaynak: Bleeping Computer