Исследователь изменил файл composer.json 14 PHP-библиотек в репозитории Packagist в попытке найти работу
В начале мая ИБ-исследователь и разработчик под ником neskafe3v1 изменил файл composer.json в 14 PHP-библиотек с сотнями миллионов установок в репозитории хостинга PHP-пакетов Packagist. Он добавил в поле с описанием каждого проекта информацию о том, что ищет работу, связанную с информационной безопасностью.
В новом файле было добавлено написано: «Ищу работу на позиции Application Security, Penetration Tester, Cyber Security Specialist».
В настоящее время администраторы репозитория пакетов Packagist убрали это «проделку» и теперь там всё в порядке (пример с acmephp). После локализации инцидента разработчики не обнаружили какого-либо вредоносного воздействия на платформу.
Исследователь не раскрыл, каким образом он получил доступ к учётным записям сопровождающих 14 PHP-библиотек. После этого neskafe3v1 подменил их URL-адреса на свои форки. Примечательно, что он не стал мержить изменения в исходные репозитории, так как для этого потребовался бы дополнительный доступ и, возможно, проверка со стороны сопровождающих проектов.
«Как видите, я ищу работу, поэтому я опубликую отчёт после того, как меня наймёт какая-нибудь компания. Пока я не преуспел, так что говорить не о чем», — рассказал neskafe3v1 изданию Bleeping Computer. Он не считает себя нарушителем и назвал свои действия «рекламой самого себя как сотрудника». При этом исследователь не уведомил заранее разработчиков библиотек и администраторов репозитория о своём эксперименте.
Администраторы Packagist сообщили, что во всех учётных записях, управлявших скомпрометированными пакетами, разработчиками использовались простые для подбора пароли без включения двухфакторной аутентификации. В настоящее время администраторы Packagist обнаружили все скомпрометированные аккаунты, отключили к ним доступ и восстановили прежние значения URL-адресов на страницах пакетов.
