您的位置:首頁 > 資訊 >

每日信息:找工作的“敲門磚”,開發(fā)者劫持 14 個 Packagist PHP 包

2023-05-04 09:32:14|
來源:IT之家 作者:
打印


【資料圖】

IT之家 5 月 4 日消息,根據國外科技媒體 bleepingcomputer 報道,一位安全研究人員劫持了 14 個 Packagist 軟件包,其中部分軟件包已安裝數億次,而目的僅僅只是尋找一份工作。

IT之家附劫持的包名稱和安裝數量如下:

包名稱累計安裝數量
acmephp/acmephp124,860
acmephp/core419,258
acmephp/ssl531,692
doctrine/doctrine-cache-bundle73,490,057
doctrine/doctrine-module5,516,721
doctrine/doctrine-mongo-odm-module516,441
doctrine/doctrine-orm-module5,103,306
doctrine/instantiator526,809,061
growthbook/growthbook97,568
jdorn/file-system-cache32,660
jdorn/sql-formatter94,593,846
khanamiryan/qrcode-detector-decoder20,421,500
object-calisthenics/phpcs-calisthenics-rules2,196,380
tga/simhash-php (aka tgalopin/simhashphp)30,555

這位研究人員的網名為 neskafe3v1,他向該媒體宣布接管了 14 個 Packagist 軟件包,其中一個的安裝量超過 5 億。

Packagist 是 PHP 包的主要注冊中心,可通過依賴管理工具 Composer 安裝這些包。Packagist 并不托管這些包,而是更多地充當元數據目錄,聚合發(fā)布到 GitHub 的開源包。

然后,開發(fā)人員可以通過運行 composer install 命令在他們的機器上安裝這些包。

研究人員向 BleepingComputer 提供了證據,證明在 5 月 1 日星期一,這些軟件包的 Packagist 頁面被修改為指向研究人員的(假)存儲庫,而不是每個軟件包的合法 GitHub 存儲庫。

這位研究人員表示:“如你所見,我正在找工作。這些資料將成為我找到新工作的‘敲門磚’”。

標簽:

相關閱讀