PHP官方Git服务器已被攻破,入侵者可能的目的是在PHP项目代码库中植入恶意软件。PHP编程语言的开发人员和维护人员NikitaPopov周日表示,php-src存储库中出现了以他和PHP的创建者RasmusLerdorf命名的两个恶意提交。这些恶意提交的文件看似以Popov和Lerdorf的名义签名,实际上却被简单的印刷错误所掩盖。当贡献者仔细查看“修复拼写错误”提交时,很明显,如果字符串以与Zerodium相关的内容开头,则恶意代码可能会触发用户代理HTTP标头中的任意代码。该代码似乎旨在植入后门并为可能的远程代码执行(RCE)创建场景。Popov表示,开发团队不确定攻击是如何完成的,但有迹象表明官方git.php.net服务器可能已被破坏,而不是仅限于单个Git帐户。安全专家还发现该脚本包含以下评论:REMOVETHIS:soldtozerodium,mid2017(REMOVETHIS:soldtozerodiuminmid2017)。但没有迹象表明漏洞卖家与网络攻击有任何关系。Zerodium首席执行官ChaoukiBekrar将真正的罪魁祸首称为“巨魔”,并公开表示:发现这个漏洞的研究人员可能曾试图将其出售给许多实体,但没有人愿意购买......在未来的代码被提交到下游,在它影响用户之前,被当局检测到并被还原。该安全事件目前正在调查中,该团队正在搜索存储库以查找任何其他恶意活动的迹象。但与此同时,开发团队已经决定,现在是将项目永久迁移到GitHub的合适时机。Popov说:我们认为维护我们自己的git基础设施是一种不必要的安全风险,我们将停止git.php.net服务器。GitHub上以前只是镜像的存储库将成为规范的,这意味着更改应该直接推送到GitHub而不是git.php.net。“值得注意的是,以前对项目存储库具有写入权限的开发人员现在需要加入GitHub上的PHP组。这次安全事件可以描述为供应链攻击,其中威胁行为者针对开源项目、库或大型其他用户群依赖的组件,为了进行核心的针对性破坏,其恶意代码可能会渗透到广泛的系统中。以最近的SolarWinds惨败为例,供应商遭受重大安全漏洞并被植入对Orion软件的恶意更新。部署恶意软件后,数以万计的组织(包括Microsoft、FireEye和Mimecast)遭到破坏。链接:https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d
