小细节IT之家 5 月 4 日消息,根据国外科技媒体 bleepingcomputer 报道,一位安全研究人员劫持了 14 个 Packagist 软件包,其中部分软件包已安装数亿次,而目的仅仅只是寻找一份工作。
IT之家附劫持的包名称和安装数量如下:
| 包名称 | 累计安装数量 |
|---|---|
| acmephp/acmephp | 124,860 |
| acmephp/core | 419,258 |
| acmephp/ssl | 531,692 |
| doctrine/doctrine-cache-bundle | 73,490,057 |
| doctrine/doctrine-module | 5,516,721 |
| doctrine/doctrine-mongo-odm-module | 516,441 |
| doctrine/doctrine-orm-module | 5,103,306 |
| doctrine/instantiator | 526,809,061 |
| growthbook/growthbook | 97,568 |
| jdorn/file-system-cache | 32,660 |
| jdorn/sql-formatter | 94,593,846 |
| khanamiryan/qrcode-detector-decoder | 20,421,500 |
| object-calisthenics/phpcs-calisthenics-rules | 2,196,380 |
| tga/simhash-php (aka tgalopin/simhashphp) | 30,555 |
这位研究人员的网名为 neskafe3v1,他向该媒体宣布接管了 14 个 Packagist 软件包,其中一个的安装量超过 5 亿。
Packagist 是 PHP 包的主要注册中心,可通过依赖管理工具 Composer 安装这些包。Packagist 并不托管这些包,而是更多地充当元数据目录,聚合发布到 GitHub 的开源包。
然后,开发人员可以通过运行 composer install 命令在他们的机器上安装这些包。
研究人员向 BleepingComputer 提供了证据,证明在 5 月 1 日星期一,这些软件包的 Packagist 页面被修改为指向研究人员的(假)存储库,而不是每个软件包的合法 GitHub 存储库。
这位研究人员表示:“如你所见,我正在找工作。这些资料将成为我找到新工作的‘敲门砖’”。
本文由LinkNemo爬虫[Echo]采集自[https://www.ithome.com/0/690/466.htm]
