Servidor Git de PHP pirateado para insertar una puerta trasera secreta en su código fuente

Noticias 12 de febrero de 2022

En otra instancia más de un ataque a la cadena de suministro de software, actores no identificados piratearon el servidor Git oficial del lenguaje de programación PHP e impulsaron actualizaciones no autorizadas para insertar una puerta trasera secreta en su código fuente.

Las dos confirmaciones maliciosas se enviaron al repositorio «php-src» alojado en el servidor git.php.net, utilizando ilícitamente los nombres de Rasmus Lerdorf, el autor del lenguaje de programación, y Nikita Popov, desarrollador de software en Jetbrains.

Se dice que los cambios se realizaron ayer, 28 de marzo.

«Todavía no sabemos cómo sucedió exactamente esto, pero todo apunta a un compromiso del servidor git.php.net (en lugar de un compromiso de una cuenta de git individual)», dijo Popov en un anuncio.

Los cambios, que se cometieron como «Fix Typo» en un intento de pasar desapercibidos como una corrección tipográfica, involucraron disposiciones para la ejecución de código PHP arbitrario. «Esta línea ejecuta el código PHP desde el encabezado HTTP del agente de usuario (» HTTP_USER_AGENTT «), si la cadena comienza con ‘cerodio'», dijo el desarrollador de PHP Jake Birchall.

Además de revertir los cambios, se dice que los mantenedores de PHP están revisando los repositorios en busca de corrupción más allá de los dos compromisos mencionados anteriormente. No está claro de inmediato si el código base manipulado fue descargado y distribuido por otras partes antes de que los cambios fueran detectados y revertidos.

Zerodium es un corredor de exploits de día cero conocido por adquirir vulnerabilidades de alto impacto y alto riesgo que se encuentran en algunos de los productos de software más utilizados en el mercado actual. A pesar de las referencias en el código de la puerta trasera, no hay evidencia que sugiera si esto fue un intento por parte de los piratas informáticos de vender una prueba de concepto (PoC) a la empresa.

A raíz de la infracción, el equipo detrás de PHP está realizando una serie de cambios, incluida la migración del repositorio de código fuente a GitHub, y los cambios se enviarán directamente a GitHub en lugar de a git.php.net en el futuro. Además, contribuir al proyecto PHP ahora requerirá que se agreguen desarrolladores como parte de la organización en GitHub.

El desarrollo se produce casi dos meses después de que los investigadores demostraran un nuevo ataque a la cadena de suministro llamado «confusión de dependencia» que está diseñado para ejecutar código no autorizado dentro del sistema de creación de software interno de un objetivo.

Nos comunicamos con los mantenedores de PHP con respecto al incidente y actualizaremos la historia si recibimos una respuesta.

Continua leyendo

La policía investiga un ‘incidente cibernético’ en el grupo médico de Guernsey

El ransomware GandCrab y el virus Ursnif se propagan a través de macros de MS Word

Investigadores lanzan herramienta que encuentra robots vulnerables en Internet

Nuevo exploit amenaza a más de 9000 enrutadores Cisco RV320 / RV325 hackeables en todo el mundo

El nuevo error de FaceTime permite que las personas que llaman lo escuchen y lo vean sin que usted responda

La policía cerró xDedic: un mercado en línea para los ciberdelincuentes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática

Thanks, I’m not interested