在软件供应链攻击的另一个实例中,身份不明的参与者入侵了PHP编程语言的官方Git服务器,并推动了未经授权的更新,从而在其源代码中插入了秘密后门。
这两个恶意提交被推送到git.php.net服务器上托管的自托管“ php-src”存储库中,使用的是编程语言的作者Rasmus Lerdorf和Microsoft的软件开发人员Nikita Popov的名字。 Jetbrains。
据说这些更改是在昨天3月28日进行的。
Popov在公告中说: “我们还不知道这是怎么发生的,但是一切都指向git.php.net服务器的危害(而不是单个git帐户的危害)。”
这些更改被提交为“ Fix Typo ”,以试图通过未被发现的印刷更正而漏掉,其中涉及执行任意PHP代码的规定。PHP开发人员Jake Birchall说:“如果字符串以’zerodium’开头,那么该行将从useragent HTTP标头(“ HTTP_USER_AGENTT”)中执行PHP代码。
除了恢复所做的更改外,据说PHP的维护者正在审查存储库中是否存在上述两次提交以外的任何损坏。目前尚不清楚在发现和撤消更改之前是否由其他方下载并分发了被篡改的代码库。
Zerodium是一个零日漏洞利用经纪人,以获取当今市场上一些最常用的软件产品中的高影响力和高风险漏洞而闻名。尽管在后门代码中有引用,但没有证据表明黑客是否试图向公司出售概念证明(PoC)。
在出问题后,PHP背后的团队正在做出许多更改,包括将源代码存储库迁移到GitHub,并将更改直接推送到GitHub而不是git.php.net。此外,为PHP项目做贡献现在将需要在GitHub上将开发人员添加为组织的一部分。
在研究人员展示了一种新颖的称为“依赖关系混乱”的供应链攻击之后的将近两个月,这种攻击旨在在目标的内部软件构建系统内执行未经授权的代码。
我们已就此事件与PHP的维护者取得了联系,如果我们回信,我们将更新该故事。
