Més d’una dotzena de paquets PHP amb 500 milions d’instal·lacions compromeses.

El repositori de paquets de programari PHP Packagist va revelar que un “atacant” va accedir a quatre comptes inactius de la plataforma per segrestar més d’una dotzena de paquets amb més de 500 milions d’instal·lacions.

“L’atacant va bifurcar cadascun dels paquets i va reemplaçar la descripció del paquet a composer.json amb el seu propi missatge, però no va fer cap altre canvi maliciós”, va dir Nils Adermann de Packagist. “Els URL dels paquets es van canviar per apuntar als repositoris bifurcats”.

Els quatre comptes d’usuari haurien tingut accés a un total de 14 paquets, inclosos diversos paquets de Doctrine. L’incident va tenir lloc l’1 de maig del 2023.

La llista completa de paquets afectats és la següent:

• acmephp/acmephp
• acmephp/corea
• cmephp/ssl
• doctrine/doctrine-cache-bundle
• doctrine/doctrine-module
• idoctrine/doctrine-mongo-odm-module
• doctrine/doctrine-orm-module
• doctrine/instantiator
• growthbook/growthbook
• jdorn/file-system-cache
• jdorn/sql-formatter
• khanamiryan/qrcode-detector-decoder
• object-calisthenics/phpcs-calisthenics-rules
• tga/simhash-php

L’investigador de seguretat Ax Sharma, que escriu per Bleeping Computer, va revelar que els canvis van ser realitzats per un penetration tester anònim que va usar el pseudònim “neskafe3v1” en un intent d’aconseguir els seus objectius.

La cadena d’atac, en poques paraules, va fer possible modificar la pàgina Packagist per cadascun d’aquests paquets a un repositori GitHub homònim, alterant efectivament el flux de treball d’instal·lació utilitzat en entorns Composer.

Si s’explotava amb èxit, els desenvolupadors que descarregaven els paquets obtenien la versió bifurcada en lloc del contingut real.

Packagist va dir que no es van distribuir canvis maliciosos addicionals, i que tots els comptes van ser desactivats així com els seus paquets restaurats el 2 de maig del 2023. També insta els usuaris a activar l’autenticació de doble factor (2FA) per protegir els seus comptes.

El succés es produeix quan l’empresa de seguretat al núvol Aqua va identificar milers de registres i repositoris de programari al núvol exposats i que contenen més de 250 milions d’artefactes i més de 65.000 imatges de contenidors.

Les desconfiguracions provenen de connectar erròniament els registres a Internet, permetre l’accés anònim per disseny, utilitzar contrasenyes predeterminades i concedir privilegis de càrrega als usuaris que podrien ser abusats per enverinar el registre amb codi maliciós.

En alguns d’aquests casos, l’accés anònim dels usuaris permetia a un possible atacant obtenir informació confidencial, com ara secrets, claus o contrasenyes, la qual cosa podia donar lloc a un greu atac a la cadena de subministrament de programari i enverinar el cicle de vida de desenvolupament de programari (SDLC).