Invasão no PHP pode ter origem no Composer

Aplicação de desenvolvimento teve correções para as invasões

Invasão no PHP pode ter origem no Composer



Pesquisadores suíços da empresa Sonar Sources descobriram recentemente falhas de segurança no Composer, que é a aplicação de desenvolvimento utilizada pelos programadores de PHP que utilizam para acessar o Packagist, o principal repositório online de módulos de software PHP.

Veja aqui: https://blog.sonarsource.com/php-supply-chain-attack-on-composer 

Esses bugs podem ter permitido que os atacantes envenenassem o próprio sistema Packagist, contaminando assim a fonte em que toda a comunidade utiliza em suas aplicações.

Esse tipo de ataque é também conhecido como um ataque à cadeia de suprimentos.  Muito semelhante ao ocorrido com a SolarWinds.  Neste formato de ataque, utiliza-se bugs ou brechas para introduzir código nas aplicações de desenvolvimento ou dentro dos códigos utilizados para compilar e produzir uma aplicação.  O ataque não se dá na aplicação em si.  Quando a aplicação vai para distribuição ou venda, já se encontra com o bug.

Felizmente, a equipe do Composer respondeu com um hotfix em apenas 12 horas e um patch oficial em cinco dias.

Os pesquisadores relatem que alguns dos códigos vulneráveis ​estavam presentes desde as primeiras versões do Composer, há 10 anos.  Parece que esta foi a primeira vez que essas falhas foram detectadas.

A ação coloca em cheque o formato de utilização de hubs comuns na programação e a segurança dos mesmos.


Clique aqui para ver mais