Des nouvelles ont été ajoutées en tête de listes.
Remontez pour les voir.
Inscription à la newsletter
La mise à jour du compositeur n'est plus sûre
DEV -
12/06
Les attaques de la chaîne d'approvisionnement frappent l'écosystème PHP. Voici le workflow du compositeur qui réduit votre exposition sans arrêter vos déploiements.
Samedi matin. J'ai ouvert Twitter et vu un tweet sur la compromission des packages Laravel-Lang.
Ma première réaction a été simple : « Je n'utilise pas ce package. »
Puis j'ai ouvertcomposer.jsonsur un projet sur lequel je travaille et j'ai trouvé ceci dansexiger-dev:
Entrer en mode plein écran Quitter le mode plein écran
Cela a changé les choses.
Ce qui s'est réellement passé
L'attaque utiliséelaravel-langforfaits comme canal de distribution. Et le plus sournois : la branche principale du référentiel avait l’air complètement propre. Aucun commit suspect, aucun nouveau code. La charge utile malveillante a été poussée via des balises git sur les forks.
La plupart des développeurs ne remarqueraient rien. Juste une routinemise à jour du compositeur, comme toujours.
Une fois installée, la charge utile s'exécute au moment du chargement automatique. Cela signifie chaqueartisan phpune commande, un travailleur de file d'attente ou une requête Web exécutant cette base de code a déclenché le logiciel malveillant au moment où PHP a frappérequire_once __DIR__.'/../vendor/autoload.php'danspublic/index.php. Silencieusement. Aucune erreur, pas d'écran rouge, rien.
Le malware était un voleur d'informations d'identification. Il a recherché dans la machine :
.envfichiers de projets Laravel
Clés d'accès AWS et jetons de session
Clés privées SSH
Jetons CLI GitHub
Jetons NPM
Secrets d'infrastructures
Il ne s'agit pas d'une injection SQL qui perturbe les lignes de votre base de données. Il s'agit d'un voleur de clés qui s'exécute sur votre ordinateur et prend tout ce qu'il trouve.
Aikido Secur... [Courte citation de 8% de l'article original]
Loading...
🍪
Le modèle économique de notre site repose sur l'affichage de publicités personnalisées basées sur l'utilisation de cookies publicitaires. En continuant votre visite sur notre site, vous consentez à l'utilisation de ces cookies.
Politique de confidentialité