PHP官网的Git服务器曾经被入侵,入侵者可能的目标是在PHP我的项目的代码库中植入恶意软件。
周日,PHP编程语言的开发者和维护者Nikita Popov示意,在php-src仓库中呈现了两个以他和PHP创建者Rasmus Lerdorf的名字命名的歹意提交。
这些歹意提交,看起来是以Popov和Lerdorf的名字签订的,实际上是用简略排版谬误进行覆盖。
当贡献者仔细观察 “修复排版谬误 “的提交时,会发现如果一个字符串的结尾是与Zerodium相干的内容,那么恶意代码就会在useragent HTTP头中触发任意代码。
该代码仿佛旨在植入后门并创立一个可能进行近程代码执行(RCE)的计划。 Popov示意开发团队不确定确切的攻击方式,然而有迹象表明官网的git.php.net服务器可能受到了攻打,而不是仅限于单个Git帐户受到了攻打。
平安专家还发现,脚本中蕴含这条正文:REMOVETHIS: sold to zerodium, mid 2017(REMOVETHIS:2017年中发售给zerodium)。但没有迹象表明,该破绽卖家与此次网络攻击有任何关系。
Zerodium的首席执行官Chaouki Bekrar称真正的罪魁祸为“巨魔”,并公开示意:发现此破绽的钻研人员可能试图将其发售给许多实体,但没人违心购买……
在将代码提交到上游,影响用户之前,官网已检测到它,并还原了提交。
目前正在对安全事件进行考察,并且团队正在搜查存储库中是否存在任何其余歹意流动迹象。然而与此同时,开发团队已决定当初是我的项目永恒迁徙到GitHub的适合工夫。
Popov说:咱们认为保护本人的git根底构造是不必要的平安危险,并且咱们将进行git.php.net服务器。以前仅是镜像的GitHub上的存储库将变得标准,这意味着更改应间接推送到GitHub而不是git.php.net。”
值得注意的是以前具备对该我的项目存储库写访问权的开发人员当初将须要退出GitHub上的PHP组。
此次安全事件能够形容为供应链攻打,其中威逼行动者针对开源我的项目,库或大用户群所依赖的其余组件。进行外围指标的毁坏,其恶意代码可能会下潜到宽泛的零碎中。 例如最近的一个例子中SolarWinds的惨败,该供应商的平安受到重大毁坏,被植入了Orion软件的歹意更新。在部署了该恶意软件后,包含Microsoft,FireEye和Mimecast在内的数以万计的组织都受到了威逼。
链接:https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d
转载请注明原文链接:官方PHP-Git服务器受到威胁项目代码库可能被植入恶意软件
