bencede
New member
1 Mayıs’ta bir saldırgan, PHP Packagist.org kayıt defterindeki dört kullanıcı hesabını ele geçirdi. Bunu yaparken, toplam 14 paketin kontrolünü ele geçirdi ve ilgili açıklamayı ve ilgili GitHub depolarının bağlantısını değiştirdi.
Composer paket yöneticisi ile oluşturulan PHP paketleri için platform operatörleri, çökmeyi ertesi gün keşfetti. Orijinal içeriği geri yüklediler ve etkilenen paketlere düzenleme erişimini engellediler. Packagist bloguna göre, çatallı depolar herhangi bir kötü amaçlı kod içermiyor. JavaScript ve Python muadili npm ve PyPI’den farklı olarak, kayıt defteri paket kodunu doğrudan sağlamaz, bunun yerine Composer kodu paket için belirtilen GitHub deposundan alır.
Birden fazla kullanılan şifreler
Packagist’in operatörleri, saldırganın parolaları diğer platformlardan sızdırarak elde ettiğini varsayar. İlgili bakıcılar muhtemelen Packagist.org’un erişim verilerini diğer siteler için de kullanmışlardır. Hiçbirinde iki faktörlü kimlik doğrulama (2FA) etkin değildi.
Görünüşe göre saldırıya uğramış hesaplar bir süredir atıl durumdaydı, ancak etkilenen on dört paket oldukça yaygındı: 30.000 ila 500 milyondan fazla yüklemeye sahipler (doktrin/instantiator).
Görünüşe göre saldırgan, yalnızca composer.json dosyasındaki açıklamayı değiştirmiş. İlginç olan, uyarlanmış dosyada bulunan ve yalnızca yeni bir “açıklama” taşıyan metindir:
Pwned by neskafe3v1…. Daha fazlası Uygulama Güvenliği, Sızma Test Cihazı, Siber Güvenlik Uzmanı.
Saldırı için iş arama
Saldırgan daha sonra Bleeping Computer güvenlik haber portalının operatörleriyle iletişime geçti ve onlara ele geçirilen hesapların ve paketlerin ayrıntılarını verdi. Motivasyonu, iş arayan bir güvenlik araştırmacısı olmasıydı. “Açıklama” da, daha sonra İngilizce olarak tanımladığı bir iş aradığını Rusça olarak yazdı.
Paketlerin orijinal içerikleri artık geri yüklendi, ancak saldırgan saldırıdan sonra ekran görüntüleri aldı.
(Resim: bilgisayar oynuyor)
Bleeping Computer saldırısının ayrıntıları hakkında yorum yapmaktan kaçındı. İş araması başarılı olana kadar söylenecek bir şey yok. Bununla birlikte, Packagist.org operatörlerinin yazdığı gibi, gerçekte yalnızca bir sızıntıdan birden çok kez kullanılmış parolalar kullandıysa, bir uygulama belgesi olarak saldırı oldukça zayıftır.
Packagist.org operatörleri yalnızca etkilenen paketlerin değiştirilmesini engellemekle kalmadı, başlangıçta 50.000’den fazla kurulumu olan tüm paketlerin değiştirilmesini de engelledi. Etkilenen paketlerden herhangi birinde değişiklik yapmak isterseniz, kayıttan sorumlu kişiye e-posta göndermeniz gerekir.
Buna ek olarak operatörler, halka açık görüntüleme ve diğer şeylerin yanı sıra paketteki değişiklikleri izleyen denetim günlüğünün içeriğinin genişletilmesi gibi daha fazla güvenlik önlemi planlıyorlar. Paket sahipleri ayrıca onları 2FA’yı etkinleştirmeye teşvik eder.
Daha fazla ayrıntı ve etkilenen paketlerin bir listesi Packagist blogunda bulunabilir.
(rm)
Haberin Sonu
Composer paket yöneticisi ile oluşturulan PHP paketleri için platform operatörleri, çökmeyi ertesi gün keşfetti. Orijinal içeriği geri yüklediler ve etkilenen paketlere düzenleme erişimini engellediler. Packagist bloguna göre, çatallı depolar herhangi bir kötü amaçlı kod içermiyor. JavaScript ve Python muadili npm ve PyPI’den farklı olarak, kayıt defteri paket kodunu doğrudan sağlamaz, bunun yerine Composer kodu paket için belirtilen GitHub deposundan alır.
Birden fazla kullanılan şifreler
Packagist’in operatörleri, saldırganın parolaları diğer platformlardan sızdırarak elde ettiğini varsayar. İlgili bakıcılar muhtemelen Packagist.org’un erişim verilerini diğer siteler için de kullanmışlardır. Hiçbirinde iki faktörlü kimlik doğrulama (2FA) etkin değildi.
Görünüşe göre saldırıya uğramış hesaplar bir süredir atıl durumdaydı, ancak etkilenen on dört paket oldukça yaygındı: 30.000 ila 500 milyondan fazla yüklemeye sahipler (doktrin/instantiator).
Görünüşe göre saldırgan, yalnızca composer.json dosyasındaki açıklamayı değiştirmiş. İlginç olan, uyarlanmış dosyada bulunan ve yalnızca yeni bir “açıklama” taşıyan metindir:
Pwned by neskafe3v1…. Daha fazlası Uygulama Güvenliği, Sızma Test Cihazı, Siber Güvenlik Uzmanı.
Saldırı için iş arama
Saldırgan daha sonra Bleeping Computer güvenlik haber portalının operatörleriyle iletişime geçti ve onlara ele geçirilen hesapların ve paketlerin ayrıntılarını verdi. Motivasyonu, iş arayan bir güvenlik araştırmacısı olmasıydı. “Açıklama” da, daha sonra İngilizce olarak tanımladığı bir iş aradığını Rusça olarak yazdı.
Paketlerin orijinal içerikleri artık geri yüklendi, ancak saldırgan saldırıdan sonra ekran görüntüleri aldı.
(Resim: bilgisayar oynuyor)
Bleeping Computer saldırısının ayrıntıları hakkında yorum yapmaktan kaçındı. İş araması başarılı olana kadar söylenecek bir şey yok. Bununla birlikte, Packagist.org operatörlerinin yazdığı gibi, gerçekte yalnızca bir sızıntıdan birden çok kez kullanılmış parolalar kullandıysa, bir uygulama belgesi olarak saldırı oldukça zayıftır.
Packagist.org operatörleri yalnızca etkilenen paketlerin değiştirilmesini engellemekle kalmadı, başlangıçta 50.000’den fazla kurulumu olan tüm paketlerin değiştirilmesini de engelledi. Etkilenen paketlerden herhangi birinde değişiklik yapmak isterseniz, kayıttan sorumlu kişiye e-posta göndermeniz gerekir.
Buna ek olarak operatörler, halka açık görüntüleme ve diğer şeylerin yanı sıra paketteki değişiklikleri izleyen denetim günlüğünün içeriğinin genişletilmesi gibi daha fazla güvenlik önlemi planlıyorlar. Paket sahipleri ayrıca onları 2FA’yı etkinleştirmeye teşvik eder.
Daha fazla ayrıntı ve etkilenen paketlerin bir listesi Packagist blogunda bulunabilir.
(rm)
Haberin Sonu