Packagist Conductorsはこのほど、「Packagist.org maintainer account takeover」において、PHPソフトウェアパッケージリポジトリであるPackagistが侵害されたことを報告した。攻撃者が、合計14のパッケージにアクセス可能な4つのユーザーアカウントに不正接続したことが確認されている。
-
Packagist.org maintainer account takeover
このインシデントは2023年5月1日に発生したとされている。影響を受けたとされる14のパッケージは次のとおり。
- acmephp/acmephp
- acmephp/core
- acmephp/ssl
- doctrine/doctrine-cache-bundle
- doctrine/doctrine-module
- doctrine/doctrine-mongo-odm-module
- doctrine/doctrine-orm-module
- doctrine/instantiator
- growthbook/growthbook
- jdorn/file-system-cache
- jdorn/sql-formatter
- khanamiryan/qrcode-detector-decoder
- object-calisthenics/phpcs-calisthenics-rules
- tga/simhash-php
攻撃者が各パッケージをフォークし、composer.jsonのパッケージ説明を書き換えたことが特定されている。それ以外の悪意のある変更は確認されておらず、その後、パッケージのURLがフォークされたリポジトリを指すよう変更されていることがわかった。
4つのアカウントはすべて以前に他のプラットフォームで発生した事件で流出した共有パスワードを利用していたたため、侵害されたとみられている。5月2日までにアクセスされたすべてのアカウントが無効化され、パッケージは復元されたと報告されている。
Packagist Conductorsは、パスワードを再利用しないことやユニークで強力なパスワードを使用することを推奨している。また、Packagist.orgのすべてのユーザーに対し、二要素認証(2FA: Two-Factor Authentication)を有効にするよう強く勧めている。
