Attaccanti sconosciuti hanno violato il server ufficiale del linguaggio di programmazione PHP e hanno spinto aggiornamenti non autorizzati per inserire una backdoor nel codice sorgente.
Gli aggressori hanno inviato il 28 marzo due commit al repository “php-src” ospitato sul server git.php.net utilizzando gli account di Rasmus Lerdorf, l’autore di PHP, e dello sviluppatore di Jetbrains Nikita Popov.
In corso un’indagine da parte dei responsabili del progetto sugli attacchi alla catena di fornitura. Gli esperti ritengono che gli attaccanti abbiano compromesso il server git.php.net.
“Non sappiamo ancora come sia successo esattamente, ma tutto fa pensare una compromissione del server git.php.net (piuttosto che una compromissione di un account git individuale)”, ha scritto Popov.
“Mentre le indagini sono ancora in corso, abbiamo deciso che mantenere la nostra infrastruttura git è un rischio per la sicurezza non necessario e che interromperemo il server git.php.net. Invece, i repository su GitHub, che in precedenza erano solo mirror, diventeranno canonici. Ciò significa che le modifiche devono essere inviate direttamente a GitHub anziché a git.php.net”.
I manutentori del PHP hanno annullato le modifiche e stanno rivedendo i repository per rilevare qualsiasi altra prova di compromissione. Gli utenti in futuro, per accedere ai repository, dovranno far parte dell’organizzazione php su GitHub e il loro account avrà 2FA abilitato. Questa nuova configurazione consentirà di unire richieste pull direttamente dall’interfaccia web di GitHub.
Non è ancora chiaro se la backdoor sia stata scaricata e distribuita da altre parti prima che venissero rilevati i commit dannosi. L’analisi del codice dannoso ha rivelato la presenza di una stringa “Zerodium”, ossia il nome di uno dei broker zero-day più popolari. Ciononostante, non ci sono prove che suggeriscano che il malware sia stato progettato per essere venduto come proof-of-concept (PoC) al broker 0day.
https://securityaffairs.co/wordpress/116088/hacking/php-git-server-hack.html