Kho lưu trữ gói (package) phần mềm PHP Packagist đã tiết lộ thông tin về một đối tượng xâm nhập thành công vào bốn tài khoản không hoạt động trên nền tảng này, từ đó chiếm quyền kiểm soát hơn mười package với tổng cộng hơn 500 triệu lượt cài đặt đến thời điểm hiện tại.
Sự cố đã diễn ra vào ngày 1 tháng 5 năm 2023. Nils Adermann, thành viên của Packagist, thông báo rằng kẻ tấn công đã chia nhỏ các package và thay đổi mô tả trong tệp composer.json bằng thông tin riêng của hắn, tuy nhiên không có bất kỳ thay đổi độc hại nào được thực hiện. "Các URL của package sau đó đã được thay đổi để trỏ đến các kho lưu trữ rẽ nhánh (fork)".
Bốn tài khoản bị xâm nhập được cho là đã có quyền truy cập vào tổng cộng 14 package, trong đó có nhiều package thuộc dự án Doctrine.
Nhà nghiên cứu Axe Sharma tiết lộ rằng những thay đổi này được thực hiện bởi một nhà kiểm thử xâm nhập ẩn danh với bút danh "neskafe3v1" nhằm tìm kiếm một công việc.
Cuộc tấn công này có thể đã khiến trang Packagist của từng package bị thay đổi thành kho lưu trữ GitHub trùng tên, điều này ảnh hưởng đến quy trình cài đặt trong môi trường Composer. Nếu khai thác thành công, các nhà phát triển sẽ tải xuống các package từ phiên bản rẽ nhánh (forked).
Packagist cho biết không có thay đổi độc hại nào khác được phát hiện, tất cả các tài khoản đã bị vô hiệu hóa và các package của họ đã được khôi phục lại vào ngày 2 tháng 5 năm 2023. Packagist cũng khuyến cáo người dùng kích hoạt xác thực hai yếu tố (2FA) để bảo mật tài khoản.
Adermann cũng lưu ý rằng: “Cả bốn tài khoản có vẻ như đã sử dụng mật khẩu chung bị rò rỉ trong các sự cố trước đó trên các nền tảng khác”. "Đừng sử dụng lại mật khẩu".
Nếu kẻ đứng sau vụ hack này không phải là một nhà kiểm thử mà là một kẻ xấu, thì hậu quả có thể là một cuộc tấn công chuỗi cung ứng nghiêm trọng.
Vụ việc này là lời nhắc nhở cho các quản trị viên cần xem xét kỹ lưỡng các tài khoản trên hệ thống, loại bỏ các tài khoản không còn sử dụng, yêu cầu người dùng thay đổi mật khẩu mặc định và áp dụng các biện pháp bảo vệ mật khẩu khác nhằm giảm thiểu nguy cơ bị tấn công mạng.
Danh sách các gói bị ảnh hưởng bao gồm:
- acmephp/acmephp
- acmephp/core
- acmephp/ssl
- doctrine/doctrine-cache-bundle
- doctrine/doctrine-module
- doctrine/doctrine-mongo-odm-module
- doctrine/doctrine-orm-module
- doctrine/instantiator
- growthbook/growthbook
- jdorn/file-system-cache
- jdorn/sql-formatter
- khanamiryan/qrcode-detector-decoder
- object-calisthenics/phpcs-calisthenics-rules
- tga/simhash-phpTH (phapluatxahoi.kinhtedothi.vn)
