注意！Packagist 存储库被黑：超过 5 亿次安装的 12 个 PHP 包被盗

PHP 软件包存储库 Packagist 透露，一名“攻击者”获得了该平台上四个非活动帐户的访问权限，以劫持十几个软件包，迄今为止安装量已超过 5 亿。 “攻击者分叉了每个包，并用他们自己的消息替换了composer.json中的包描述，但没有进行任何恶意更改，”Packagist 的 Nils Adermann说。“然后将包 URL 更改为指向分叉的存储库。” 据说这四个用户帐户可以访问总共 14 个包，包括多个 Doctrine 包。事件发生在2023年5月1日，受影响包裹的完整列表如下—— acmephp/acmephp acmephp/core acmephp/ssl doctrine/doctrine-cache-bundle doctrine/doctrine-module doctrine/doctrine-mongo-odm-module doctrine/doctrine-orm-module doctrine/instantiator growthbook/growthbook jdorn/file-system-ca...