Pesquisador sequestra pacotes populares PHP do Packagist para conseguir emprego

Pesquisador sequestra pacotes populares PHP do Packagist para conseguir emprego

Um pesquisador descobriu uma vulnerabilidade que permitiu que ele sequestrasse pacotes PHP muito populares do Packagist, o principal repositório de pacotes PHP. O objetivo? Conseguir um emprego oferecido pela empresa austríaca de segurança cibernética SEC Consult.

O pesquisador, Nikolai Tschacher, descobriu que o Packagist não usa nenhuma autenticação ou autorização quando aceita novos pacotes e atualizações, o que o torna vulnerável a ataques de sequestro. Tschacher criou seus próprios pacotes, que pareciam ser atualizações legítimas dos pacotes populares existentes, e os enviou para o Packagist. Quando esses pacotes foram instalados por outros sites e aplicativos que dependiam deles, seu código malicioso foi executado.

Assim, Tschacher foi capaz de controlar seus sistemas e direcioná-los para um servidor que ele controlava. Lá, ele deixou uma mensagem aos desenvolvedores das empresas da lista afetada de que estava procurando emprego e que a brecha que ele usou podia ser explorada por hackers maliciosos para atacar seus sistemas.

A empresa SEC Consult logo entrou em contato com o pesquisador para oferecer a ele um emprego, parabenizando-o por sua habilidade e ética no campo da segurança cibernética. A empresa também ajudou a alertar outras empresas afetadas pelo ataque de sequestro.

Embora o ataque de Tschacher possa ter parecido inofensivo, ele mostra a vulnerabilidade do ecossistema de pacotes open-source. Ele também destaca a necessidade de uma melhor segurança cibernética em geral e de melhores práticas de segurança para repositórios de pacotes.