官方PHP GIT存储库被黑客攻击以在PHP源代码中添加后门; 这种变化被“立即恢复”

2021-03-29 21:12:41

在最新的软件供应链攻击中,官方PHP GIT存储库被黑客攻击,代码基础篡改。

昨天,两个恶意提交被推到PHP-SRC GIT存储库,由PHP团队在其Git.php.net服务器上维护。

威胁演员签署了这些犯罪,好像这些是由已知的PHP开发人员和维护者,Rasmus Lerdorf和Nikita Popov制作的。

试图损害PHP代码库,昨天推出了两个恶意提交给官方PHP GIT存储库。

考虑PHP仍然是服务器端编程语言的事件令人担忧,以电源超过Internet上的79%的网站。

在BleepingComputer看到的恶意提交[1,2]中,攻击者发表了一个神秘的更改,上游,"修复拼写"在假装下,这是一个轻微的印刷更正。

但是,查看所添加的第370行,其中调用Zend_eval_String函数,代码实际上在运行此劫持版本的PHP的网站上获取易于远程码执行(RCE)的后门。

"此行从UserAgent HTTP标头中执行PHP代码,如果字符串从&#39开始' Zerodium',"回应的PHP开发人员Jake Birchall到迈克尔·莫伊斯克,他们首先指出了异常。

"第一个提交人员在制定后有几个小时,作为常规提交后审查的一部分。这种变化相当明显恶意并立即恢复,#34;波波夫告诉BleepingComputer。

但是,与像Git这样的源代码版本控制系统几乎没有令人惊讶的是,可以在本地从任何人签下提交,然后将伪造的提交上传到远程GIT服务器,在那里释放出留下的印象如果它确实被命名的人签约了它。

据PHP维护人员表示,虽然对事件的完整调查是正在进行的,但这种恶意活动源于受妥协的Git.php.net服务器,而不是妥协单个' s git帐户。

作为此事件后的预防措施,PHP维护人员已决定将官方PHP源代码存储库迁移到GitHub。

"虽然调查仍然在进行中,我们已经决定维护自己的Git基础架构是一种不必要的安全风险,并且我们将停止Git.php.net服务器。"

"相反,GitHub上仅仅是镜子的存储库,将成为规范的,"宣布波利夫。

通过此更改,Forward Popov认为,任何代码更改都将直接按到Github而不是Git.php.net服务器。

有兴趣为PHP项目提供兴趣的人现在需要作为GitHub上的PHP组织的一部分添加。

对于组织中的成员资格,您需要在GitHub帐户上启用双因素身份验证(2FA)。

BleepingComputer向波波夫和PHP安全团队伸出援手,以了解这一妥协的完整范围,如果任何代码在恶意提交捕获之前在下游分发。

"它可能已经克隆/分叉了,但更改没有将其成交到任何标签或释放伪影。"

"改变在PHP 8.1的发展分支机构上,这是由于年底释放,"波波夫进一步告诉BleepingComputer。

PHP团队已确认为BleepingComputer,他们计划在即将到来的日子里最终退役他们的Git服务器,并永久地转向GitHub。