URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 130373
[ Назад ]
Исходное сообщение
"Перехвачен контроль над 14 PHP-библиотками в репозитории Packagist"
Отправлено opennews , 04-Май-23 09:51 
Администраторы репозитория пакетов Packagist раскрыли сведения об атаке, в результате которой был захвачен контроль над учётными записями сопровождающих 14 PHP-библиотек, в числе которых такие популярные пакеты, как instantiator (526 млн установок всего и 8 млн установок за месяц), sql-formatter (94 млн установок),  doctrine-cache-bundle (73 млн) и rcode-detector-decoder (20 млн)...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59075

Содержание
Сообщения в этом обсуждении
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Аноним , 04-Май-23 09:51 
Получит в итоге не работу, а место на нарах =)
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Mail , 04-Май-23 16:50 
Ща будет бегать толпа индусов со строчкой в резюме: "взломал Packagist"
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Повар , 04-Май-23 23:19 
Долго сидеть ему не придётся, дадим работку!
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено YetAnotherOnanym , 05-Май-23 09:43 
В РФ это была бы ст. 272 ч.1 УК - "Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло (...) модификацию (...) компьютерной информации" - максимум двушечка, причём
по ст. 53(1) - не лишения свободы, а принудительных работ. Кроме этого, в гл. 8 "Обстоятельства, исключающие преступность деяния" есть ст. 41 "Обоснованный риск":
1. Не является преступлением причинение вреда охраняемым уголовным законом интересам при обоснованном риске для достижения общественно полезной цели.
2. Риск признается обоснованным, если указанная цель не могла быть достигнута не связанными с риском действиями (бездействием) и лицо, допустившее риск, предприняло достаточные меры для предотвращения вреда охраняемым уголовным законом интересам.
То есть, если он скажет "я им емейл отправил, в котором предупреждал о небезопасных паролях, а они его проигнорили" - это будет основание вообще не считать его действия преступлением.
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено alexandr_0503 , 04-Май-23 09:54 
Сам же и свалился
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Аноним , 04-Май-23 10:09 
Шизофрения она такая.
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Аноним , 04-Май-23 10:20 
анонимный интернет не имел таких проблем. куда только таргаши не приходят - сразу становиться не возможно жить, куча проблем в том числе с безопасностью. отмените логины в интернете как было раньше и все станет нормально.
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Аммоним , 04-Май-23 23:04 
торгаши тянутся за обывателями
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Кир , 04-Май-23 10:23 
Вот как надо собеседования проходить! ))
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Аммоним , 04-Май-23 23:06 
Вот и выросло поколение, не слышавшее про "Резюме оставлять на рабочем столе Билла Гейца".
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Аноним , 04-Май-23 10:32 
Незачем продакшнам внешние зависимости тянуть из сети. Нужно иметь только основной репозиторий кода со всеми зависимостями. Обновление версий зависимостей желательно вручную производить с тщательным тестированием.
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Аноним , 04-Май-23 10:35 
Что самое интересное, на рост зарплаты это если вообще и влияет, то только положительно.
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Аноним , 04-Май-23 16:06 
Никак не повлияет. Будешь делать больше работы за те же деньги.
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Аноним , 04-Май-23 20:09 
А у прораба? )
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Аноним , 04-Май-23 16:10 
Ага. И вычитывать весь код. А ещё лучше вообще никакой внешний код не использовать, и всё писать самому. И железо тоже самому делать.
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено нейм , 04-Май-23 16:42 
SAST/DAST не, не слышали
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Аноним , 04-Май-23 17:59 
Слышали, а как же. И даже наспор мимо них протаскивали патч Бармина. Они от ошибок программистов неплохо помогают, но от намеренного вредительства почти совсем нет.
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено n00by , 04-Май-23 10:36 
> вопреки сложившейся практике "этических взломов"
> заранее не уведомил

+++
> "Pwned by neskafe3v1....
> Ищу работу на позиции Application Security,
> Penetration Tester, Cyber Security Specialist."

Интересно, что Гугл переводит "Looking for a job position" как просто "ищу работу", а Яндекс выдал всего 4 (четыре) страницы с фразой "Ищу работу на позиции".

"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Массоны Рептилоиды , 04-Май-23 10:45 
> Ищу работу на позиции

Можно в оркестр

"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено n00by , 04-Май-23 11:30 
Те позиции по другую сторону.
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Аноним , 04-Май-23 22:27 
Оркестровые позиции скоро везде будут.
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Аноним , 05-Май-23 01:25 
Без тебя врядли.
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено n00by , 05-Май-23 07:49 
Ножками буша торговали лет 10, импортозамещая отечественного производителя, пока не запретили ГМО, так что и франшиза Линукс вряд ли завтра закончится.
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Бывалый смузихлёб , 04-Май-23 16:44 
Не ну а что
Уведомляешь такой. Через неделю начинаешь типо взламывать, думая что контора возражений не имеет ведь ответа так и не последовало, но и возражений тоже.
А контора через две недели отправляет гневное письмо-ответ на исходное, чтобы близко со своими погаными лапами к сервакам не приближался иначе по башке надают( а то ведь реально что-то сломаться может в хитрозапутанных интеграциях и процессах. А может уже и быть сломано, зато найдётся отличный крайний козёл на хороший иск )
На вырученные от взлома деньги затариваешься сухарями и вазелином с доставкой. Гулять-так гулять напоследок. Зато заранее предупредил.
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено n00by , 04-Май-23 18:18 
Там буквы русские, а текст сочинял плохо знающий язык.
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено ivan_erohin , 05-Май-23 05:56 
> Ищу работу на позиции

если написать "принимаю заказы на ..., оплата почасовая или по результатам проектов", будет ли отклик лучше ?

"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено n00by , 05-Май-23 06:55 
Отклик будет лучше, если написать на "общепринятом в айти" языке. Отклик из России будет лучше, если писать по-русски, а не на мове. Если его и интересует отклик, то совсем не тот что заявлен.
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Бздительный поцыент , 13-Май-23 16:59 
Penetration Tester - это что-то из области испытателей игрушек?
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено n00by , 14-Май-23 08:23 
Войтхеты (а стало быть и чорношляпники) компелируют сплоет и дудосят сайтенги, вряд ли он бета-тестером в геймдев целит.
"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Аноним , 04-Май-23 10:52 
> PHP

Жесть, думал это осталось в 00-х.

"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Аноним , 04-Май-23 23:18 
>> PHP
> Жесть, думал это осталось в 00-х.

У тебя голубые волосы, да?

"Перехвачен контроль над 14 PHP-библиотками в репозитории Pac..."
Отправлено Вы забыли заполнить поле Name , 04-Май-23 13:28 
Хорошее резюме
"Перехвачен контроль над 14 PHP-библиотеками в репозитории Pa..."
Отправлено Бывалый смузихлёб , 04-Май-23 16:37 
Что вообще за говнотермин "этический взлом"
В целом же, похоже что поцык просто захотел цену себе набить. Ведь монетизировать тот взлом чтобы стать реально богаче и не присесть он бы не смог
"Перехвачен контроль над 14 PHP-библиотеками в репозитории Pa..."
Отправлено Kuromi , 04-Май-23 19:55 
Этический - это неудачный "эпический"
"Перехвачен контроль над 14 PHP-библиотеками в репозитории Pa..."
Отправлено Вы забыли заполнить поле Name , 04-Май-23 19:38 
Это не взлом, а фича современных централизованных пакетных менеджеров без подписи.
"Перехвачен контроль над 14 PHP-библиотеками в репозитории Pa..."
Отправлено Аноним , 04-Май-23 22:28 
Качается ведь через HTTPS, зачем ещё какие-то подписи?
"Перехвачен контроль над 14 PHP-библиотеками в репозитории Pa..."
Отправлено Коми , 05-Май-23 00:13 
Ооо, сарказм.
"Перехвачен контроль над 14 PHP-библиотеками в репозитории Pa..."
Отправлено Аммоним , 04-Май-23 23:14 
> простые для подбора пароли без включения двухфакторной аутентификации
> без двухфакторной

Какое удивительное совпадение, корпорашки насильно ставят новые зонды "для вашей же безопасности", и тут такой удобный случай для запугивания несогласных