Перехвачены PHP-пакеты с сотнями миллионов установок
Исследователь перехватил больше дюжины PHP-пакетов на Packagist с сотнями миллионов установок. Форки пакетов с заменёнными GitHub-ссылками вели на его репозиторий, а сделано это было, собственно, для самопиара. Единственным изменением в оригиналах было описание. Товарищ был краток: «Pwned by neskafe3v1… Ищу работу на позиции Application Security, Penetration Tester, Cyber Security Specialist».
Доступ к аккаунтам герой истории получил с помощью ранее скомпрометированных на других площадках данных – на всех четырёх были простенькие пароли и отсутствовала двухфакторка. Между тем на Packagist таким экспериментам не очень рады – ни их, ни владельцев пакетов об экстравагантном поиске вакансий не уведомили. Но наш большой оригинал уверен, что работа его теперь непременно найдёт. Что ж, главное, чтобы она была не в даркнете. А то его подход к этому вполне располагает.