黑客攻击 Packagist PHP 包,“劫持”数亿软件包
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
黑客攻击者入侵了 PHP 软件包集中式存储库 Packagist,劫持了十四个软件包,累计安装已超数亿次。攻击者声称他的目的是通过劫持软件包来找到一份工作。开发人员现在可以从攻击者的 GitHub 回购中获取包的内容,而不是从项目的存储库中获取。
🎯
关键要点
-
黑客攻击者入侵了 PHP 软件包集中式存储库 Packagist,劫持了十四个软件包。
-
被劫持的软件包累计安装已超数亿次。
-
攻击者声称其目的是通过劫持软件包来找到一份工作。
-
Packagist 是一个为开发人员提供分享和安装 PHP 软件包的平台。
-
攻击者修改了被劫持包的 Packagist 页面,指向其伪造的 GitHub 链接。
-
Packagist 的发布过程与 npm 或 PyPI 等开源存储库不同,开发人员只需提交 GitHub 链接。
-
攻击者通过修改 Packagist 页面劫持了 Composer 的安装工作流。
-
攻击者更改了 composer.json 文件中的描述字段,以展示其黑客行为。
-
攻击者未透露具体的攻击技术,表示在找到工作后会披露报告。
➡️
