O repositório de pacotes de software PHP Packagist revelou que um "atacante" obteve acesso a quatro contas inativas na plataforma para sequestrar mais de uma dúzia de pacotes com mais de 500 milhões de instalações até o momento.
"O atacante bifurcou cada um dos pacotes e substituiu a descrição do pacote em composer.json por sua própria mensagem, mas não fez outras alterações maliciosas", disse Nils Adermann, da Packagist.
"Os URLs dos pacotes foram então alterados para apontar para os repositórios bifurcados."
As quatro contas de usuário teriam tido acesso a um total de 14 pacotes, incluindo vários pacotes Doctrine.
O incidente ocorreu em 1º de maio de 2023.
A lista completa de pacotes afetados é a seguinte:
acmephp/acmephp
acmephp/core
acmephp/ssl
doctrine/doctrine-cache-bundle
doctrine/doctrine-module
doctrine/doctrine-mongo-odm-module
doctrine/doctrine-orm-module
doctrine/instantiator
growthbook/growthbook
jdorn/file-system-cache
jdorn/sql-formatter
khanamiryan/qrcode-detector-decoder
object-calisthenics/phpcs-calisthenics-rules
tga/simhash-php
O pesquisador de segurança Ax Sharma, escrevendo para o Bleeping Computer, revelou que as alterações foram feitas por um testador de penetração anônimo com o pseudônimo "neskafe3v1" na tentativa de conseguir um emprego.
Em resumo, a cadeia de ataque tornou possível modificar a página Packagist para cada um desses pacotes para um repositório GitHub homônimo, alterando efetivamente o fluxo de instalação usado nos ambientes do Composer.
A exploração bem-sucedida significava que os desenvolvedores que baixavam os pacotes recebiam a versão bifurcada em vez do conteúdo real.
A Packagist disse que nenhuma outra alteração maliciosa foi distribuída e que todas as contas foram desativadas e seus pacotes restaurados em 2 de maio de 2023.
A empresa também está pedindo aos usuários que ativem a autenticação de dois fatores (2FA) para proteger suas contas.
"Todos os quatro contas parecem ter usado senhas compartilhadas vazadas em incidentes anteriores em outras plataformas", observou Adermann.
"Por favor, não reutilize senhas."
O desenvolvimento ocorre à medida que a empresa de segurança na nuvem Aqua identificou milhares de registros e repositórios de software em nuvem expostos contendo mais de 250 milhões de artefatos e mais de 65.000 imagens de contêiner.
As configurações incorretas decorrem da conexão acidental dos registros à internet, permitindo acesso anônimo por design, uso de senhas padrão e concessão de privilégios de upload a usuários que poderiam ser usados para envenenar o registro com código malicioso.
"Em alguns desses casos, o acesso de usuário anônimo permitiu que um potencial atacante obtivesse informações confidenciais, como segredos, chaves e senhas, o que poderia levar a um grave ataque à cadeia de suprimentos de software e envenenamento do ciclo de vida de desenvolvimento de software (SDLC)", divulgaram os pesquisadores Mor Weinberger e Assaf Morag no final do mês passado.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...