30/03/21
Киберпреступники взломали официальный Git-репозиторий PHP с целью внедрения двух вредоносных коммитов и изменения кодовой базы.
Злоумышленники добавили коммиты , замаскировавшись под разработчиков языка PHP Расмуса Лердорфа (Rasmus Lerdorf) и Никиту Попова. Хакеры пытались скрыть свою вредоносную деятельность и выдавали внедренные изменения за обычное исправление типографических ошибок. На самом же деле они изменили исходный код PHP для внедрения удаленно управляемого бэкдора.
В добавленной строке 370, где вызывается функция zend_eval_string, находился код, который фактически внедрял бэкдор для удаленного выполнения кода на web-сайте с запущенной зараженной версией PHP.
«Эта строка выполняла PHP-код из HTTP-заголовка пользователя, если строка начиналась с 'zerodium'», — пояснил PHP-разработчик Джейк Бирчалл (Jake Birchall) Майклу Воржишеку (Michael Voříšek), который первым указал на аномалию.
По словам Попова, первый коммит был обнаружен через пару часов после его внедрения в ходе рутинной проверки кода. Изменения были явно злонамеренными и были немедленно отменены.
Расследование инцидента продолжается, и по словам специалистов, вредоносное изменение возникло в результате взлома сервера git.php.net, а не из-за взлома учетной записи Git отдельного пользователя. Изменения затронули ветки разработки для версии PHP 8.1, выпуск которой запланирован на конец нынешнего года.
Разработчики также приняли решение перенести исходный код PHP в репозиторий на GitHub в целях безопасности.
