PHP 官网的 Git 服务器曾经被入侵,入侵者可能的目标是在 PHP 我的项目的代码库中植入恶意软件。
周日,PHP 编程语言的开发者和维护者 Nikita Popov 示意,在 php-src 仓库中呈现了两个以他和 PHP 创建者 Rasmus Lerdorf 的名字命名的歹意提交。
这些歹意提交,看起来是以 Popov 和 Lerdorf 的名字签订的,实际上是用简略排版谬误进行覆盖。
当贡献者仔细观察 “ 修复排版谬误 “ 的提交时,会发现如果一个字符串的结尾是与 Zerodium 相干的内容,那么恶意代码就会在 useragent HTTP 头中触发任意代码。
该代码仿佛旨在植入后门并创立一个可能进行近程代码执行(RCE)的计划。Popov 示意开发团队不确定确切的攻击方式,然而有迹象表明官网的 git.php.net 服务器可能受到了攻打,而不是仅限于单个 Git 帐户受到了攻打。
平安专家还发现,脚本中蕴含这条正文:REMOVETHIS: sold to zerodium, mid 2017(REMOVETHIS:2017 年中发售给 zerodium)。但没有迹象表明,该破绽卖家与此次网络攻击有任何关系。
Zerodium 的首席执行官 Chaouki Bekrar 称真正的罪魁祸为“巨魔”,并公开示意:发现此破绽的钻研人员可能试图将其发售给许多实体,但没人违心购买 ……
在将代码提交到上游,影响用户之前,官网已检测到它,并还原了提交。
目前正在对安全事件进行考察,并且团队正在搜查存储库中是否存在任何其余歹意流动迹象。然而与此同时,开发团队已决定当初是我的项目永恒迁徙到 GitHub 的适合工夫。
Popov 说:咱们认为保护本人的 git 根底构造是不必要的平安危险,并且咱们将进行 git.php.net 服务器。以前仅是镜像的 GitHub 上的存储库将变得标准,这意味着更改应间接推送到 GitHub 而不是 git.php.net。”
值得注意的是以前具备对该我的项目存储库写访问权的开发人员当初将须要退出 GitHub 上的 PHP 组。
此次安全事件能够形容为供应链攻打,其中威逼行动者针对开源我的项目,库或大用户群所依赖的其余组件。进行外围指标的毁坏,其恶意代码可能会下潜到宽泛的零碎中。例如最近的一个例子中 SolarWinds 的惨败,该供应商的平安受到重大毁坏,被植入了 Orion 软件的歹意更新。在部署了该恶意软件后,包含 Microsoft,FireEye 和 Mimecast 在内的数以万计的组织都受到了威逼。
链接:https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d