![PHP的Git服务器被黑客攻击,源码库被植入后门]( "PHP的Git服务器被黑客攻击,源码库被植入后门")
点击上方蓝字关注我们
近期,未知身份的攻击者入侵了PHP官方Git存储库,并在源代码库中植入了恶意后门。攻击者将两个恶意提交推送到git.php.net服务器上的自托管php-src存储库中,称其正在"修复排版",并伪造签名让人以为这些提交是由已知的PHP开发人员完成的。
攻击者以PHP软件开发人员Nikita Popov的名义,在名为“fix typo”的上游进行了一次恶意提交,并声称这是一个小的排版更正以掩盖其恶意活动,之后又以PHP共同作者Rasmus Lerdorf的名义进行了另一次恶意提交。提交是指将“安全”代码添加到该项目的源代码存储库中,以便将其包含在下一个发行版中。
Popov表明第一次恶意提交在几个小时后被发现,维护人员在对提交的代码进行常规审查时发现其明显是恶意的,并立即进行了还原。维护人员表示这次恶意活动是源于被入侵的git.php.net服务器,而不是个人的Git账户。
最早发现该异常的开发人员Michael Voříšek警告说:“如果字符串以"zerodium"开头,则以Popov名义添加到Git源代码存储库中的代码将从useragent HTTP头内执行PHP代码。”
Zerodium是一家总部位于华盛顿的安全公司,以购买零日漏洞而闻名。尽管在后门代码中引用了Zerodium,但没有证据表明该恶意软件旨在作为概念验证(PoC)出售给Zerodium。
如果此次代码得以传播,则攻击者可能具有篡改众多网站的能力。市场研究机构Web Technology Surveys表明,至少有79%的网站使用了PHP,包括Facebook和Zoom等。
幸运的是此次攻击被及时发现并阻止,到星期一早上维护人员已经消除了对PHP源代码的恶意添加,目前正在对PHP源代码进行更彻底的审查,以查看是否有进一步被入侵的迹象。
虽然该事件的完整调查仍在进行中,但出于安全起见,PHP维护人员决定停止git.php.net服务器,并将源代码迁移至GitHub中。
![PHP的Git服务器被黑客攻击,源码库被植入后门]( "PHP的Git服务器被黑客攻击,源码库被植入后门")
本文始发于微信公众号(SecTr安全团队):PHP的Git服务器被黑客攻击,源码库被植入后门
点击上方蓝字关注我们
评论