La mise à jour du compositeur n'est plus sûre

DEV - 12/06
Les attaques de la chaîne d'approvisionnement frappent l'écosystème PHP. Voici le workflow du compositeur qui réduit votre exposition sans arrêter vos déploiements.

Samedi matin. J'ai ouvert Twitter et vu un tweet sur la compromission des packages Laravel-Lang.

Ma première réaction a été simple : « Je n'utilise pas ce package. »

Puis j'ai ouvertcomposer.jsonsur un projet sur lequel je travaille et j'ai trouvé ceci dansexiger-dev:

"laravel-lang/lang": "^14.8", "laravel-lang/publisher": "^16.8",
Entrer en mode plein écran Quitter le mode plein écran

Cela a changé les choses.

Ce qui s'est réellement passé

L'attaque utiliséelaravel-langforfaits comme canal de distribution. Et le plus sournois : la branche principale du référentiel avait l’air complètement propre. Aucun commit suspect, aucun nouveau code. La charge utile malveillante a été poussée via des balises git sur les forks.

La plupart des développeurs ne remarqueraient rien. Juste une routinemise à jour du compositeur, comme toujours.

Une fois installée, la charge utile s'exécute au moment du chargement automatique. Cela signifie chaqueartisan phpune commande, un travailleur de file d'attente ou une requête Web exécutant cette base de code a déclenché le logiciel malveillant au moment où PHP a frappérequire_once __DIR__.'/../vendor/autoload.php'danspublic/index.php. Silencieusement. Aucune erreur, pas d'écran rouge, rien.

Le malware était un voleur d'informations d'identification. Il a recherché dans la machine :

  • .envfichiers de projets Laravel
  • Clés d'accès AWS et jetons de session
  • Clés privées SSH
  • Jetons CLI GitHub
  • Jetons NPM
  • Secrets d'infrastructures

Il ne s'agit pas d'une injection SQL qui perturbe les lignes de votre base de données. Il s'agit d'un voleur de clés qui s'exécute sur votre ordinateur et prend tout ce qu'il trouve.

Aikido Secur...
[Courte citation de 8% de l'article original]

Loading...