PHP Packagist 被一名「找工作的駭客」入侵
一名駭客近日入侵了 PHP Packagist,並將其中的一些庫文件改為指向一個新的 GitHub 帳戶,以此來搶劫用戶的敏感信息。據報導,這名駭客是通過四個舊的和不活躍的 Packagist 帳戶登錄密碼入手,接著找出了與這些帳戶相關聯的 14 個 GitHub 項目,並將它們複製到了一個新建的 GitHub 帳戶中。最後,他們修改了 Packagist 系統中的庫文件,使其指向這些新的 GitHub 存儲庫。
Packagist 是一個 PHP 軟件庫,用戶可以在其中發布自己創建的 PHP 軟件包的詳細信息。這使得 PHP 編程人員可以輕鬆地獲取他們想要在自己項目中使用的庫代碼,並且在需要時自動更新這些代碼。Packagist 通過鏈接庫代碼的方式來實現這一點,而不是自己保留庫代碼的副本。這樣做的好處是,通過像 GitHub 這樣的知名源代碼服務進行管理的項目不需要維護兩個官方版本的庫文件,這有助於避免源代碼控制系統和打包系統之間的“版本漂移”問題。但是,這種做法也有缺點,即庫文件可能被植入惡意代碼,包括包管理器本身被駭客攻擊,或者庫文件所鏈接的源代碼存儲庫被駭客攻擊,以便讓用戶下載到錯誤的代碼。
目前還不清楚這名駭客的目的是什麼,但據報導,他們聲稱是為了找工作而進行攻擊。這次事件提醒我們,在使用 Packagist 和其他類似庫時,一定要注意安全,不要使用不活躍的帳戶或者過時的庫文件,並確保庫文件來自可信源。同時,也要注意保護自己的帳戶安全,使用強密碼,定期更換密碼,並啟用雙因素身份驗證等安全措施,以保護自己的數據和系統。
留言
張貼留言