Un CRIMINALE ha recentemente sfruttato la catena di fornitura di PHP Packagist, un repository per pacchetti PHP, mettendo in luce problemi di sicurezza e vulnerabilità legati agli account inattivi e al sistema stesso.
L’attacco e il coinvolgimento degli account inattivi
L’attaccante ha individuato quattro account Packagist inattivi e vecchi, per i quali aveva acquisito le credenziali di accesso. Successivamente, ha identificato 14 progetti GitHub collegati a questi account e li ha clonati in un nuovo account GitHub. Infine, ha modificato i pacchetti nel sistema Packagist per farli puntare ai nuovi repository GitHub.
Modifiche apportate ai progetti clonati
Sebbene l’hacker avesse potuto inserire codice dannoso nei progetti PHP clonati su GitHub, come keylogger, backdoor o altro malware, sembra che abbia modificato soltanto un elemento di ciascun progetto: un file chiamato composer.json. L’attaccante ha cambiato la descrizione del progetto, inserendo un messaggio in cui cercava lavoro come esperto di sicurezza informatica.
Lezioni apprese e consigli per la sicurezza
Questo caso mette in evidenza l’importanza di disattivare gli account inutilizzati, non riutilizzare le password su più account e utilizzare l’autenticazione a due fattori (2FA) per proteggere meglio gli accessi. Inoltre, è fondamentale non accettare ciecamente gli aggiornamenti della catena di fornitura senza esaminarli attentamente, al fine di ridurre i rischi per gli utenti.