PHPがサプライチェーン攻撃の標的に、確認を

SonarSourceは10月4日(現地時間)、「Securing Developer Tools: A New Supply Chain Attack on PHP」において、、PHPソフトウェアパッケージリポジトリである「Packagist」にサプライチェーン攻撃を実行するために悪用可能な重大な脆弱性を発見したと伝えた。この脆弱性は発見された後、数時間以内にリポジトリの管理者によって修正されている。

見つかった脆弱性は、開発者がプロジェクトに含めるソフトウェアの依存関係を特定してダウンロードするために使われている、PHPパッケージマネージャである「Composer」に存在していた。この脆弱性を悪用することでPHPソフトウェアパッケージに関する情報を配信するサーバが制御される可能があり、最終的にリポジトリを使用するすべての組織に対して攻撃が行える危険性があったという。