PHP-Registry Packagist: Sicherheitsforscher geht mit Attacke auf Jobsuche
Vier Accounts und vierzehn Pakete hat ein Angreifer übernommen, der offenbar auf die Weise nach einer Stelle als Sicherheitsforscher sucht.
(Bild: Madeleine Domogalla)
Ein Angreifer hat am 1. Mai vier User-Accounts auf der PHP-Registry Packagist.org übernommen. Dabei hat er die Kontrolle über insgesamt 14 Pakete erlangt und die zugehörige Beschreibung sowie den Link auf die jeweiligen GitHub-Repositories verändert.
Die Betreiber der Plattform für mit dem Paketmanager Composer erstellten PHP-Packages haben einen Tag später von dem Vorfall erfahren. Sie haben die ursprünglichen Inhalte wiederhergestellt und den Zugriff zum Bearbeiten der betroffenen Pakete gesperrt. Laut dem Packagist-Blog enthalten die geforkten Repositories keinen Schadcode. Die Registry bietet nicht wie die JavaScript- und Python-Pendants npm und PyPI direkt den Code der Pakete, sondern Composer holt ihn aus dem für das Paket angegebenen GitHub-Repository.
Mehrfach genutzte Passwörter
Die Packagist-Betreiber gehen davon aus, dass der Angreifer die Passwörter durch Leaks von anderen Plattformen erlangt hat. Die jeweiligen Maintainer haben die Zugangsdaten für Packagist.org wohl auch für andere Sites benutzt. Keiner von ihnen hatte Zwei-Faktor-Authentifizierung (2FA) aktiviert.
Offenbar waren die gekaperten Accounts seit einer Weile inaktiv, aber die betroffenen vierzehn Pakete durchaus verbreitet: Sie weisen zwischen 30.000 und über 500 Millionen Installationen (doctrine/instantiator) auf.
Offenbar hat der Angreifer nur die Beschreibung in der Datei composer.json geändert. Interessant ist dabei der Text, der sich in der angepassten Datei befindet, die lediglich eine neue "description" mitbringt:
Pwned by neskafe3v1.... Ищу работу на позиции Application Security, Penetration Tester, Cyber Security Specialist.
Jobsuche per Angriff
Anschließend hat sich der Angreifer an die Betreiber des Security-Newsportals Bleeping Computer gewandt und ihnen Details zu den gekaperten Accounts und Paketen mitgeteilt. Als Motivation gab er an, dass er ein Sicherheitsforscher auf Jobsuche sei. Er hat in der "description" auf Russisch geschrieben, dass er nach einer Stelle sucht, die er anschließend auf Englisch beschreibt.
(Bild: Bleeping Computer)
Zu den genauen Details des Angriffs wollte er sich gegenüber Bleeping Computer nicht äußern. Bis seine Jobsuche erfolgreich sei, gäbe es nichts zu erzählen. Wenn er allerdings tatsächlich lediglich mehrfach genutzte Passwörter aus einem Leak verwendet hat, wie die Packagist.org-Betreiber schreiben, ist der Angriff als Bewerbungsunterlage eher dürftig.
Die Betreiber von Packagist.org haben nicht nur das Bearbeiten der betroffenen Pakete geblockt, sondern zunächst das Editieren aller Pakete gesperrt, die mehr als 50.000 Installationen aufweisen. Wer Änderungen an einem der betroffenen Packages vornehmen möchte, soll sich per E-Mail bei den Registry-Verantwortlichen melden.
Am 16. Mai dreht sich beim Online-Thementag der heise devSec alles um Zwei-Faktor-Authentifizierung. Das Programm bietet unter anderem Vorträge zur Zukunft von 2FA und MFA, zum Einsatz von WebAuthn und der Integration von TOTP sowie zu den Risiken bei der Implementierung von 2FA.
Veranstalter der Online-Konferenz sind heise Developer, heise Security, iX und dpunkt.verlag.
Außerdem planen die Betreiber weitere Sicherheitsmaßnahmen wie die öffentliche Darstellung und eine inhaltliche Erweiterung des Audit-Log, das unter anderem Buch über die Änderungen im Paket führt. Die Maintainer von Paketen rufen sie zudem dazu auf, 2FA zu aktivieren.
Weitere Details sowie eine Liste der betroffenen Pakete lassen sich dem Packagist-Blog entnehmen.
(rme)