Kho lưu trữ gói (package) phần mềm PHP Packagist tiết lộ rằng một đối tượng đã giành được quyền truy cập vào bốn tài khoản không còn hoạt động trên nền tảng để chiếm quyền kiểm soát hơn mười package với hơn 500 triệu lượt cài đặt cho đến nay.
Sự cố xảy ra vào ngày 1 tháng 5 năm 2023. Nils Adermann của Packagist cho biết “kẻ tấn công đã chia nhỏ các package và thay thế mô tả trong tệp composer.json bằng thông tin của riêng hắn nhưng không thực hiện bất kỳ thay đổi độc hại nào”. "Các URL của package sau đó đã được thay đổi để trỏ đến các kho lưu trữ rẽ nhánh (fork)".
Bốn tài khoản người dùng được cho là đã có quyền truy cập vào tổng cộng 14 package, bao gồm nhiều package Doctrine.
Nhà nghiên cứu Axe Sharma tiết lộ rằng những thay đổi này được thực hiện bởi một nhà kiểm thử xâm nhập dấu tên có bút danh "neskafe3v1" nhằm tìm kiếm một công việc.
Chuỗi tấn công có thể thay đổi trang Packagist cho từng package này thành kho lưu trữ GitHub trùng tên, thay đổi hiệu quả quy trình cài đặt được sử dụng trong môi trường Composer. Khai thác thành công sẽ khiến các nhà phát triển tải xuống các package từ phiên bản forked.
Packagist cho biết rằng không có thay đổi độc hại nào khác được phát hiện và tất cả các tài khoản đã bị vô hiệu hóa; các package của họ cũng đã được khôi phục lại vào ngày 2 tháng 5 năm 2023. Packagist cũng khuyến khích người dùng kích hoạt xác thực hai yếu tố (2FA) để bảo mật tài khoản của họ.
Adermann lưu ý thêm rằng: “Cả bốn tài khoản dường như đã sử dụng mật khẩu chung bị rò rỉ trong các sự cố trước đó trên các nền tảng khác”. "Đừng sử dụng lại mật khẩu".
Nếu người đứng sau vụ hack lần này không phải là một nhà kiểm thử mà là một kẻ xấu thì nó có thể đã dẫn đến một cuộc tấn công chuỗi cung ứng nghiêm trọng.
Sự việc này như một lời nhắc nhở các quản trị viên xem xét cẩn thận các tài khoản trên hệ thống để xóa bỏ các tài khoản không còn sử dụng cũng như yêu cầu người dùng thay đổi mật khẩu mặc định và áp dụng các biện pháp bảo vệ mật khẩu khác để giảm thiểu các nguy cơ bị tấn công mạng.
Danh sách các gói bị ảnh hưởng bao gồm:
- acmephp/acmephp
- acmephp/core
- acmephp/ssl
- doctrine/doctrine-cache-bundle
- doctrine/doctrine-module
- doctrine/doctrine-mongo-odm-module
- doctrine/doctrine-orm-module
- doctrine/instantiator
- growthbook/growthbook
- jdorn/file-system-cache
- jdorn/sql-formatter
- khanamiryan/qrcode-detector-decoder
- object-calisthenics/phpcs-calisthenics-rules
- tga/simhash-php
Nguồn: thehackernews.com.
Tín nhiệm mạng | Người dùng plugin Advanced Custom Fields dành cho WordPress đang được khuyến khích cập nhật lên phiên bản 6.1.6 sau khi lỗ hổng bảo mật mới trong plugin này được phát hiện.
Tín nhiệm mạng | Meta đã thực hiện các bước để gỡ bỏ hơn 1.000 URL độc hại được chia sẻ trên các dịch vụ của mình. Các URL này được phát hiện đã lợi dụng ChatGPT của OpenAI làm mồi nhử để quảng cáo khoảng 10 phần mềm độc hại kể từ tháng 3 năm 2023.
Tín nhiệm mạng | Cisco đã cảnh báo về một lỗ hổng trong giao diện quản lý dựa trên web của các bộ chuyển đổi SPA112 2-Port Phone của Cisco, có thể cho phép kẻ tấn công thực thi mã tùy ý trên thiết bị mà không cần xác thực
Tín nhiệm mạng | Google đã bắt đầu triển khai giải pháp không cần mật khẩu (passwordless solution) cho các Tài khoản Google trên tất cả các nền tảng.
Tín nhiệm mạng | Một hoạt động thực thi pháp luật quốc tế đã dẫn đến việc bắt giữ 288 nhà cung cấp được cho là có liên quan đến việc buôn bán ma túy trên web đen, thêm vào một danh sách dài các doanh nghiệp tội phạm đã bị đóng cửa trong những năm gần đây.
Tín nhiệm mạng | Những người bảo trì phần mềm trực quan hóa dữ liệu mã nguồn mở Apache Superset đã phát hành các bản vá để khắc phục một lỗi cấu hình mặc định không an toàn có thể dẫn đến thực thi mã từ xa.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
