PHP supply-chain-attack: i bravi ragazzi sono arrivati prima dei cattivi.




Dei ricercatori svizzeri di sicurezza informatica hanno recentemente scoperto delle falle di sicurezza in Composer, lo strumento software che i team di programmazione utilizzano per accedere al Packagist, il principale archivio online di moduli software PHP.


Questi bug avrebbero potuto consentire ai criminali informatici di di impiantare del malware all'interno del sistema Packagist stesso, contaminando così lo stesso repository utilizzato da gran parte della comunità PHP.


Questo tipo di attacco è noto, per ovvi motivi, come un attacco alla catena di approvvigionamento (supply-chain-attack).



Fortunatamente il team di Composer ha rilasciato una hotfix in sole 12 ore e una patch ufficiale dopo cinque giorni.


Anche se i ricercatori hanno riferito che "alcuni dei codici vulnerabili erano presenti sin dalle prime versioni di Composer, 10 anni fa", ma sembra che questa fosse la prima volta che questi difetti siano stati individuati.