• Ср. Апр 14th, 2021

Главный портал о новостях в сфере информационной безопасности

Взломали Git-репозиторий PHP для внедрения бэкдора в исходный код

Злоумышленники добавили коммиты, замаскировавшись под разработчиков языка PHP Расмуса Лердорфа и Никиту Попова.

Киберпреступники взломали официальный Git-репозиторий PHP с целью внедрения двух вредоносных коммитов и изменения кодовой базы.

Злоумышленники добавили коммиты , замаскировавшись под разработчиков языка PHP Расмуса Лердорфа (Rasmus Lerdorf) и Никиту Попова. Хакеры пытались скрыть свою вредоносную деятельность и выдавали внедренные изменения за обычное исправление типографических ошибок. На самом же деле они изменили исходный код PHP для внедрения удаленно управляемого бэкдора.

В добавленной строке 370, где вызывается функция zend_eval_string, находился код, который фактически внедрял бэкдор для удаленного выполнения кода на web-сайте с запущенной зараженной версией PHP.

«Эта строка выполняла PHP-код из HTTP-заголовка пользователя, если строка начиналась с ‘zerodium’», — пояснил PHP-разработчик Джейк Бирчалл (Jake Birchall) Майклу Воржишеку (Michael Voříšek), который первым указал на аномалию.

По словам Попова, первый коммит был обнаружен через пару часов после его внедрения в ходе рутинной проверки кода. Изменения были явно злонамеренными и были немедленно отменены.

Расследование инцидента продолжается, и по словам специалистов, вредоносное изменение возникло в результате взлома сервера git.php.net, а не из-за взлома учетной записи Git отдельного пользователя. Изменения затронули ветки разработки для версии PHP 8.1, выпуск которой запланирован на конец нынешнего года.

Разработчики также приняли решение перенести исходный код PHP в репозиторий на GitHub в целях безопасности.

Andrey Kopelyan

У самурая нет цели, у самурая есть путь.