Хакеры взломали Git-репозиторий PHP для внедрения бэкдора в исходный код
Киберпреступники взломали официальный Git-репозиторий PHP с целью внедрения двух вредоносных коммитов и изменения кодовой базы, передаёт SecurityLab.
Злоумышленники добавили коммиты, замаскировавшись под разработчиков PHP Расмуса Лердорфа и Никиту Попова. Чтобы скрыть вредительство, хакеры выдавали внесённые изменения за обычное исправление типографических ошибок. На деле же они изменили исходный код языка, чтобы создать удалённо управляемый бэкдор.
В добавленной строке 370, где вызывается функция zend_eval_string, находился код, который фактически внедрял бэкдор для удалённого выполнения кода на сайте с запущенной заражённой версией PHP. По некоторым оценкам, PHP использует около 80% сайтов.
Как пояснили разработчики, строка выполняла PHP-код из HTTP-заголовка пользователя, если содержимое начиналось со слова «zerodium».
Первый злонамеренный коммит был обнаружен через пару часов после внедрения в ходе рутинной проверки кода и немедленно отменён. Как пишет OpenNet, после этого в репозитории появился второй коммит, который отменял действия PHP-разработчиков и возвращал вредоносное изменение.
Расследование инцидента продолжается. По словам специалистов, причиной стал взлом сервера git.php.net, а не учётной записи Git отдельного пользователя. Изменения затронули ветки разработки для версии PHP 8.1, выпуск которой запланирован на конец нынешнего года.
В целях безопасности разработчики решили перенести исходный код PHP на GitHub.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.