Packagist Conductorsはこのほど、「Packagist.org maintainer account takeover」において、PHPソフトウェアパッケージリポジトリであるPackagistが侵害されたことを報告した。攻撃者が、合計14のパッケージにアクセス可能な4つのユーザーアカウントに不正接続したことが確認されている。

  • Packagist.org maintainer account takeover

    Packagist.org maintainer account takeover

このインシデントは2023年5月1日に発生したとされている。影響を受けたとされる14のパッケージは次のとおり。

  • acmephp/acmephp
  • acmephp/core
  • acmephp/ssl
  • doctrine/doctrine-cache-bundle
  • doctrine/doctrine-module
  • doctrine/doctrine-mongo-odm-module
  • doctrine/doctrine-orm-module
  • doctrine/instantiator
  • growthbook/growthbook
  • jdorn/file-system-cache
  • jdorn/sql-formatter
  • khanamiryan/qrcode-detector-decoder
  • object-calisthenics/phpcs-calisthenics-rules
  • tga/simhash-php

攻撃者が各パッケージをフォークし、composer.jsonのパッケージ説明を書き換えたことが特定されている。それ以外の悪意のある変更は確認されておらず、その後、パッケージのURLがフォークされたリポジトリを指すよう変更されていることがわかった。

4つのアカウントはすべて以前に他のプラットフォームで発生した事件で流出した共有パスワードを利用していたたため、侵害されたとみられている。5月2日までにアクセスされたすべてのアカウントが無効化され、パッケージは復元されたと報告されている。

Packagist Conductorsは、パスワードを再利用しないことやユニークで強力なパスワードを使用することを推奨している。また、Packagist.orgのすべてのユーザーに対し、二要素認証(2FA: Two-Factor Authentication)を有効にするよう強く勧めている。