Repositorio de Packagist hackeado

El repositorio de paquetes de software PHP Packagist reveló que un "atacante" obtuvo acceso a cuatro cuentas inactivas en la plataforma para secuestrar más de una docena de paquetes con más de 500 millones de instalaciones hasta la fecha.

"El atacante bifurcó cada uno de los paquetes y reemplazó la descripción del paquete en composer.json con su propio mensaje, pero no realizó ningún cambio malicioso", dijo Nils Adermann de Packagist. "Las URL de los paquetes se cambiaron para apuntar a los repositorios bifurcados".

Se dice que las cuatro cuentas de usuario tuvieron acceso a un total de 14 paquetes, incluidos varios paquetes de Doctrine. El incidente tuvo lugar el 1 de mayo de 2023. La lista completa de paquetes afectados es la siguiente:

• acmephp/acmephp
• acmephp/núcleo
• acmephp/ssl
• doctrine/doctrine-cache-bundle
• Módulo doctrina/doctrina
• doctrine/doctrine-mongo-odm-module
• doctrine/doctrine-orm-module
• doctrina/instanciador
• Growthbook/Growthbook
• jdorn/file-system-cache
• jdorn/sql-formateador
• Khanamiryan/QRCODE-detector-decodificador
• object-calisthenics/phpcs-calisthenics-rules
• tga/simhash-php

El investigador de seguridad Ax Sharma, escribiendo para Bleeping Computer, reveló que los cambios fueron realizados por un probador de penetración anónimo con el seudónimo "neskafe3v1" en un intento de conseguir un trabajo.

La cadena de ataque, en pocas palabras, hizo posible modificar la página Packagist para cada uno de estos paquetes a un repositorio de GitHub homónimo, alterando efectivamente el flujo de trabajo de instalación utilizado en los entornos Composer.

La explotación exitosa significaba que los desarrolladores que descargaban los paquetes obtendrían la versión bifurcada en lugar de los contenidos reales.

Packagist dijo que no se distribuyeron cambios maliciosos adicionales, y que todas las cuentas se deshabilitaron y sus paquetes se restauraron el 2 de mayo de 2023. También insta a los usuarios a habilitar la autenticación de dos factores (2FA) para proteger sus cuentas.

"Las cuatro cuentas parecen haber estado usando contraseñas compartidas filtradas en incidentes anteriores en otras plataformas", señaló Adermann. "Por favor, no reutilice las contraseñas".

El desarrollo se produce cuando la firma de seguridad en la nube Aqua identificó miles de registros y repositorios de software en la nube expuestos que contienen más de 250 millones de artefactos y más de 65,000 imágenes de contenedores.

Las configuraciones erróneas se derivan de la conexión errónea de los registros a Internet, permitiendo el acceso anónimo por diseño, utilizando contraseñas predeterminadas y otorgando privilegios de carga a los usuarios que podrían ser abusados para envenenar el registro con código malicioso.

"En algunos de estos casos, el acceso anónimo de usuarios permitió a un atacante potencial obtener información confidencial, como secretos, claves y contraseñas, lo que podría conducir a un ataque severo a la cadena de suministro de software y envenenamiento del ciclo de vida de desarrollo de software (SDLC)", revelaron los investigadores Mor Weinberger y Assaf Morag a fines del mes pasado.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta