Un gruppo di librerie per PHP è stato compromesso con un virus progettato per rubare password. Coloro che hanno integrato questi pacchetti nei loro progetti hanno visto i propri dati esposti. L'attacco ricorda che usare codice open source senza controllo può avere conseguenze gravi. Si consiglia di aggiornare a versioni sicure e verificare l'integrità di ogni dipendenza.
Come il controllo delle dipendenze previene gli attacchi nel tuo stack 🛡️
L'infezione si è diffusa attraverso repository ufficiali, dove gli aggressori hanno inserito codice malevolo in versioni specifiche dei pacchetti. Eseguendosi sul server, il malware estraeva credenziali memorizzate in variabili d'ambiente o file di configurazione. Per mitigare i rischi, è fondamentale utilizzare strumenti di analisi della composizione del software (SCA) e mantenere un registro degli hash di ogni dipendenza. La lezione è semplice: non fidarti ciecamente di ciò che scarichi.
Il giorno in cui il tuo gestore di pacchetti ti ha rubato la password 😅
Si scopre che il rischio di sicurezza maggiore non era un hacker con il cappuccio, ma un semplice composer install. Ora gli sviluppatori guardano i loro file composer.json come se fossero documenti classificati. La prossima cosa sarà chiedere al server di soffiare prima di eseguire un require. Meno male che l'open source è gratuito, perché la tranquillità che dà bisogna pagarla a parte.