一次针对PHP软件包仓库的“求职”攻击

最近，PHP开发者常用的软件包仓库Packagist发生了一起安全事件。有人通过几个不活跃的账户，篡改了十多个软件包的安装来源。虽然这次事件没有植入恶意代码，但它暴露了开源软件供应链中一个容易被忽视的环节风险，也给所有开发者提了个醒。

事件经过：一次非典型的“劫持”

根据Packagist官方披露，事件发生在2023年5月1日。攻击者获得了四个非活跃用户账户的访问权限，并利用这些账户控制了它们名下的14个软件包。这些包的总安装量已超过5亿次，其中包含多个知名的Doctrine框架组件。

攻击者的手法比较特殊。他们没有直接修改软件包的代码，而是“分叉”了每个包在GitHub上的原始仓库，创建了自己的副本。然后，他们修改了Packagist上这些包的composer.json描述文件，将包的下载链接指向了自己分叉的仓库。这样一来，当其他开发者通过Composer工具安装这些包时，下载的将不再是官方版本，而是攻击者仓库里的内容。

攻击动机：一场“求职”演示？

这次攻击最令人意外的地方在于其动机。据安全研究员透露，攻击者是一位化名为“neskafe3v1”的匿名渗透测试人员。其目的并非植入恶意代码或窃取数据，而是试图通过展示这种入侵能力来“找到一份工作”。

我的理解是，这更像是一次“概念验证”式的行为。攻击者通过实际操控高知名度的软件包，来证明自己有能力发现和利用软件供应链中的漏洞。虽然其个人目的可能是求职，但这种未经授权的行为本身已经构成了对平台和开发者社区的侵扰与安全威胁。

潜在风险与官方应对

尽管这次攻击没有在分叉的代码中加入恶意功能，但潜在风险是真实存在的。成功利用意味着开发者的项目可能引入未经审核、甚至被篡改过的代码，这为未来的软件供应链攻击埋下了隐患。正如Packagist联合创始人指出的，“攻击链使得将这些软件包中的每一个的 Packagist 页面修改为同名的 GitHub 存储库成为可能”。

Packagist在事件发生次日（5月2日）迅速采取了行动：禁用了涉事的四个账户，并将所有被篡改的软件包恢复到了正确的状态。官方强调，没有发现任何恶意代码被分发出去。

给开发者的安全启示

这起事件暴露了两个关键的安全薄弱点。首先，是密码复用问题。Packagist调查发现，这四个被入侵的账户都使用了在其他平台泄露事件中已暴露的密码。攻击者正是利用了这些泄露的凭证进行“撞库”登录的。因此，官方强烈建议不要在不同网站重复使用同一密码。

其次，是双因素认证（2FA）的重要性。Packagist敦促所有用户，尤其是软件包维护者，立即启用2FA来保护账户。即使密码不幸泄露，2FA也能为账户增加一道坚固的屏障。

更广泛的供应链安全背景

这起事件并非孤立。就在同期，有云安全公司的研究报告指出，他们发现了数千个配置不当、暴露在公网上的软件仓库和容器注册表，其中包含数亿个“工件”和数万个容器镜像。这些错误配置——比如使用默认密码、允许匿名访问——使得攻击者有可能窃取敏感信息，甚至用恶意代码污染整个软件供应链。

结语

总的来说，这次Packagist事件更像是一次有惊无险的“警示”。它没有造成实质性的代码污染，但清晰地演示了开源软件供应链中的一个攻击路径：通过入侵维护者账户来篡改软件来源。对于普通开发者而言，及时更新依赖、关注官方通告是基本操作。而对于软件包的维护者们，启用双因素认证、使用独立且强壮的密码，则是守护项目安全必须筑起的第一道防线。

```excel_export_meta {"belongs_channel_1":"网络安全","summary":"Packagist软件包仓库发生安全事件，攻击者通过泄露密码控制非活跃账户，篡改了14个高安装量PHP包的下载源指向自己的仓库，动机疑似为渗透测试求职演示。事件未植入恶意代码，官方已恢复包状态