找工作的“敲门砖”,开发者劫持 14 个 Packagist PHP 包央视主持人大洗牌!超24人被除名,尼格买提被除名是早晚的事?

发布于:2023-07-18 21:38:35

IT之家 5 月 4 日消息,根据国外科技媒体 bleepingcomputer 报道,一位安全研究人员劫持了 14 个 Packagist 软件包,其中部分软件包已安装数亿次,而目的仅仅只是寻找一份工作。

IT之家附劫持的包名称和安装数量如下:

包名称累计安装数量acmephp/acmephp124,860acmephp/core419,258acmephp/ssl531,692doctrine/doctrine-cache-bundle73,490,057doctrine/doctrine-module5,516,721doctrine/doctrine-mongo-odm-module516,441doctrine/doctrine-orm-module5,103,306doctrine/instantiator526,809,061growthbook/growthbook97,568jdorn/file-system-cache32,660jdorn/sql-formatter94,593,846khanamiryan/qrcode-detector-decoder20,421,500object-calisthenics/phpcs-calisthenics-rules2,196,380tga/simhash-php (aka tgalopin/simhashphp)30,555

这位研究人员的网名为 neskafe3v1,他向该媒体宣布接管了 14 个 Packagist 软件包,其中一个的安装量超过 5 亿。

Packagist 是 PHP 包的主要注册中心,可通过依赖管理工具 Composer 安装这些包。Packagist 并不托管这些包,而是更多地充当元数据目录,聚合发布到 GitHub 的开源包。

然后,开发人员可以通过运行 composer install 命令在他们的机器上安装这些包。

研究人员向 BleepingComputer 提供了证据,证明在 5 月 1 日星期一,这些软件包的 Packagist 页面被修改为指向研究人员的(假)存储库,而不是每个软件包的合法 GitHub 存储库。

这位研究人员表示:“如你所见,我正在找工作。这些资料将成为我找到新工作的‘敲门砖’”。


免责声明:本站所有内容及图片均采集来源于网络,并无商业使用,如若侵权请联系删除。

上一篇:布达拉宫:未授权任何网站或第三方平台预订参观票

下一篇:数据库开发是干什么的?

资讯 观察行业视觉,用专业的角度,讲出你们的心声。
MORE

I NEED TO BUILD WEBSITE

我需要建站

*请认真填写需求信息,我们会在24小时内与您取得联系。