针对PHP官方仓库的一次定向攻击已导致至少八个软件包被入侵,其中注入了旨在窃取密码并在Linux系统上执行远程命令的恶意软件。网络犯罪分子利用了开源生态系统固有的信任机制来分发恶意代码。开发者被敦促检查其依赖项并使用分析工具,以避免成为此威胁的受害者。
恶意代码如何渗透到可信依赖项中 🛡️
攻击者篡改了PHP仓库中的合法软件包,添加了在安装或执行期间激活的有效载荷。该恶意软件在后台运行,提取系统中存储的凭据,并打开后门以便远程执行命令。此次攻击突显了一个常见攻击向量:即认为官方仓库中的所有代码都是安全的假设。为了缓解风险,建议验证校验和、使用隔离环境并审计每个依赖项的源代码。
自由软件给你自由,也附赠恶意软件作为礼物 😈
因为没有什么比下载一个PHP软件包,却额外附赠一个给网络犯罪分子用的密码管理器更能体现信任了。开源很棒,但似乎有些人决定按字面意思理解:对所有人开放,甚至包括那些想偷你密码的人。所以你知道的,在更新之前,最好先看看你安装的是什么。或者,至少享受这个过程吧。