Agentes não identificados invadiram o servidor Git oficial para a linguagem de programação PHP e enviaram atualizações não autorizadas para inserir um backdoor secreto no código-fonte. A modificação ocorreu através de dois commits maliciosos (uploads definitivos), enviados para o repositório auto-hospedado “php-src”, no servidor git.php.net. A ação foi tomada ontem, 28 de março, por pessoas que usaram ilegalmente os nomes dos desenvolvedores Rasmus Lerdorf, um dos autores do PHP, e Nikita Popov, desenvolvedora de software no Jetbrains e também administradora de PHP.
Por volta das 20h de Brasília, Popov publicou um comunicado explicando a ocorrência: “Ontem (2021-03-28) dois commits maliciosos foram enviados para o repo php-src com os nomes de Rasmus Lerdorf e eu. Ainda não sabemos exatamente como isso aconteceu, mas tudo aponta para um comprometimento do servidor git.php.net (em vez de comprometer uma conta git individual). Enquanto a investigação ainda está em andamento, decidimos que manter nossa própria infraestrutura git é um risco de segurança desnecessário e vamos descontinuar o servidor git.php.net. Em vez disso, os repositórios no GitHub, que costumavam ser apenas espelhos, se tornarão canônicos. Isso significa que as alterações devem ser enviadas diretamente para o GitHub em vez de ir para git.php.net.
Embora o acesso de gravação anterior aos repositórios fosse feito por meio de nosso sistema de carma interno, agora você precisa fazer parte da organização php no GitHub. Se você ainda não faz parte da organização, ou não tem acesso a um repositório ao qual deveria ter acesso, entre em contato comigo em [email protected] com seus nomes de conta php.net e GitHub, bem como as permissões que você tem atualmente perdendo. Membro da organização
requer que 2FA seja habilitado. Essa mudança também significa que agora é possível mesclar solicitações pull
diretamente da interface da web do GitHub. Estamos revisando os repositórios para qualquer corrupção além dos dois commits referenciados. Entre em contato com [email protected] se você notar algo “.
As alterações foram relatadas como “Corrigir um erro de digitação”, em uma tentativa de enganar, envolvendo disposições para a execução de código PHP arbitrário. “Esta linha executa o código PHP de dentro do cabeçalho do useragent HTTP (” HTTP_USER_AGENTT “), se a string começar com ‘zerodium'”, disse o desenvolvedor PHP Jake Birchall. Além de reverter as mudanças, os mantenedores do PHP estão revisando os repositórios. Não está claro se a base de código adulterada foi baixada e distribuída antes de as alterações serem detectadas e revertidas.
Com agências de notícias internacionais
.
Fonte: CisoAdvisor