Pesquisador sequestra pacotes populares PHP do Packagist para conseguir emprego

Pesquisador sequestra pacotes populares PHP do Packagist para conseguir emprego

Pesquisador sequestra pacotes populares PHP do Packagist para conseguir emprego

O pesquisador, Nikolai Tschacher, descobriu que o Packagist não usa nenhuma autenticação ou autorização quando aceita novos pacotes e atualizações, o que o torna vulnerável a ataques de sequestro.
Compartilhe

Pesquisador sequestra pacotes populares PHP do Packagist para conseguir emprego

Um pesquisador descobriu uma vulnerabilidade que permitiu que ele sequestrasse pacotes PHP muito populares do Packagist, o principal repositório de pacotes PHP. O objetivo? Conseguir um emprego oferecido pela empresa austríaca de segurança cibernética SEC Consult.

O pesquisador, Nikolai Tschacher, descobriu que o Packagist não usa nenhuma autenticação ou autorização quando aceita novos pacotes e atualizações, o que o torna vulnerável a ataques de sequestro. Tschacher criou seus próprios pacotes, que pareciam ser atualizações legítimas dos pacotes populares existentes, e os enviou para o Packagist. Quando esses pacotes foram instalados por outros sites e aplicativos que dependiam deles, seu código malicioso foi executado.

Assim, Tschacher foi capaz de controlar seus sistemas e direcioná-los para um servidor que ele controlava. Lá, ele deixou uma mensagem aos desenvolvedores das empresas da lista afetada de que estava procurando emprego e que a brecha que ele usou podia ser explorada por hackers maliciosos para atacar seus sistemas.

A empresa SEC Consult logo entrou em contato com o pesquisador para oferecer a ele um emprego, parabenizando-o por sua habilidade e ética no campo da segurança cibernética. A empresa também ajudou a alertar outras empresas afetadas pelo ataque de sequestro.

Embora o ataque de Tschacher possa ter parecido inofensivo, ele mostra a vulnerabilidade do ecossistema de pacotes open-source. Ele também destaca a necessidade de uma melhor segurança cibernética em geral e de melhores práticas de segurança para repositórios de pacotes.