Хакеры внедрили в Git-репозиторий проекта PHP удаленно управляемый бэкдор

Разработчик и сопровождающий языка программирования PHP Никита Попов сообщил о компрометации Git-репозитория php-scr проекта и обнаружении двух вредоносных коммитов — от имени самого Попова и создателя PHP Расмуса Лердорфа.

Вредоносные коммиты были замаскированы под простые типографические ошибки, нуждающиеся в исправлении.

Как отмечает Bleeping Computer, код был предназначен для внедрения бэкдора и создания сценария, в котором возможно удаленное выполнение кода (Remote Code Execution). В сценарий был включен комментарий REMOVETHIS: sold Zerodium, mid 2017. Однако нет никаких доказательств, что продавец эксплойта имеет какое-либо отношение к кибератаке.

Попов рассказал, что команда разработчиков не уверена, как именно произошла атака, но есть свидетельства того, что, скорее всего, был скомпрометирован официальный сервер git.php.net, а не отдельные учетные записи Git. Коммиты были обнаружены и отменены до того, как они попали в нисходящий поток или затронули пользователей.

Ведется расследование инцидента. Команда PHP исследует репозиторий на предмет любых других признаков злонамеренной активности.

Специалисты решили, что сейчас подходящее время для перехода на GitHub. По словам Никиты Попова, они поняли, что поддержка их собственной инфраструктуры Git влечет за собой ненужные риски, поэтому прекратят поддержку сервера git.php.net. Вместо этого репозитории на GitHub, которые раньше были только зеркальными, станут каноническими. Это означает, что разработчикам теперь придется отправлять изменения не на git.php.net, а непосредственно на GitHub.