官方PHP Git服务器受到威胁,项目代码库可能被植入恶意软件

PHP官方的Git服务器已经被入侵,入侵者可能的目的是在PHP项目的代码库中植入恶意软件。

周日,PHP编程语言的开发者和维护者Nikita Popov表示,在php-src仓库中出现了两个以他和PHP创建者Rasmus Lerdorf的名字命名的恶意提交。

这些恶意提交,看起来是以Popov和Lerdorf的名字签署的,实际上是用简单排版错误进行掩盖。

当贡献者仔细观察 "修复排版错误 "的提交时,会发现如果一个字符串的开头是与Zerodium相关的内容,那么恶意代码就会在useragent HTTP头中触发任意代码。

该代码似乎旨在植入后门并创建一个可能进行远程代码执行(RCE)的方案。 Popov表示开发团队不确定确切的攻击方式,但是有迹象表明官方的git.php.net服务器可能受到了攻击,而不是仅限于单个Git帐户受到了攻击。

安全专家还发现,脚本中包含这条注释:REMOVETHIS: sold to zerodium, mid 2017(REMOVETHIS:2017年中出售给zerodium)。但没有迹象表明,该漏洞卖家与此次网络攻击有任何关系。

Zerodium的首席执行官Chaouki Bekrar称真正的罪魁祸为“巨魔”,并公开表示:发现此漏洞的研究人员可能试图将其出售给许多实体,但没人愿意购买......

在将代码提交到下游,影响用户之前,官方已检测到它,并还原了提交。

目前正在对安全事件进行调查,并且团队正在搜寻存储库中是否存在任何其他恶意活动迹象。但是与此同时,开发团队已决定现在是项目永久迁移到GitHub的合适时间。

Popov说:我们认为维护自己的git基础结构是不必要的安全风险,并且我们将停止git.php.net服务器。以前仅是镜像的GitHub上的存储库将变得规范,这意味着更改应直接推送到GitHub而不是git.php.net。”

值得注意的是以前具有对该项目存储库写访问权的开发人员现在将需要加入GitHub上的PHP组。

此次安全事件可以描述为供应链攻击,其中威胁行动者针对开源项目,库或大用户群所依赖的其他组件。进行核心目标的破坏,其恶意代码可能会下潜到广泛的系统中。 例如最近的一个例子中SolarWinds的惨败,该供应商的安全遭到重大破坏,被植入了Orion软件的恶意更新。在部署了该恶意软件后,包括Microsoft,FireEye和Mimecast在内的数以万计的组织都受到了威胁。


链接:https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d

image.png

你可能感兴趣的:(php)