您的位置:首頁(yè) > 資訊 >

每日信息:找工作的“敲門磚”,開(kāi)發(fā)者劫持 14 個(gè) Packagist PHP 包

2023-05-04 09:32:14|
來(lái)源:IT之家 作者:
打印


【資料圖】

IT之家 5 月 4 日消息,根據(jù)國(guó)外科技媒體 bleepingcomputer 報(bào)道,一位安全研究人員劫持了 14 個(gè) Packagist 軟件包,其中部分軟件包已安裝數(shù)億次,而目的僅僅只是尋找一份工作。

IT之家附劫持的包名稱和安裝數(shù)量如下:

包名稱累計(jì)安裝數(shù)量
acmephp/acmephp124,860
acmephp/core419,258
acmephp/ssl531,692
doctrine/doctrine-cache-bundle73,490,057
doctrine/doctrine-module5,516,721
doctrine/doctrine-mongo-odm-module516,441
doctrine/doctrine-orm-module5,103,306
doctrine/instantiator526,809,061
growthbook/growthbook97,568
jdorn/file-system-cache32,660
jdorn/sql-formatter94,593,846
khanamiryan/qrcode-detector-decoder20,421,500
object-calisthenics/phpcs-calisthenics-rules2,196,380
tga/simhash-php (aka tgalopin/simhashphp)30,555

這位研究人員的網(wǎng)名為 neskafe3v1,他向該媒體宣布接管了 14 個(gè) Packagist 軟件包,其中一個(gè)的安裝量超過(guò) 5 億。

Packagist 是 PHP 包的主要注冊(cè)中心,可通過(guò)依賴管理工具 Composer 安裝這些包。Packagist 并不托管這些包,而是更多地充當(dāng)元數(shù)據(jù)目錄,聚合發(fā)布到 GitHub 的開(kāi)源包。

然后,開(kāi)發(fā)人員可以通過(guò)運(yùn)行 composer install 命令在他們的機(jī)器上安裝這些包。

研究人員向 BleepingComputer 提供了證據(jù),證明在 5 月 1 日星期一,這些軟件包的 Packagist 頁(yè)面被修改為指向研究人員的(假)存儲(chǔ)庫(kù),而不是每個(gè)軟件包的合法 GitHub 存儲(chǔ)庫(kù)。

這位研究人員表示:“如你所見(jiàn),我正在找工作。這些資料將成為我找到新工作的‘敲門磚’”。

標(biāo)簽:

相關(guān)閱讀