官方PHP Git服務(wù)器受到威脅，項(xiàng)目代碼庫(kù)可能被植入惡意軟件

PHP官方的Git服務(wù)器已經(jīng)被入侵，入侵者可能的目的是在PHP項(xiàng)目的代碼庫(kù)中植入惡意軟件。

周日，PHP編程語(yǔ)言的開(kāi)發(fā)者和維護(hù)者Nikita Popov表示，在php-src倉(cāng)庫(kù)中出現(xiàn)了兩個(gè)以他和PHP創(chuàng)建者Rasmus Lerdorf的名字命名的惡意提交。

這些惡意提交，看起來(lái)是以Popov和Lerdorf的名字簽署的，實(shí)際上是用簡(jiǎn)單排版錯(cuò)誤進(jìn)行掩蓋。

當(dāng)貢獻(xiàn)者仔細(xì)觀察 "修復(fù)排版錯(cuò)誤 "的提交時(shí)，會(huì)發(fā)現(xiàn)如果一個(gè)字符串的開(kāi)頭是與Zerodium相關(guān)的內(nèi)容，那么惡意代碼就會(huì)在useragent HTTP頭中觸發(fā)任意代碼。

該代碼似乎旨在植入后門并創(chuàng)建一個(gè)可能進(jìn)行遠(yuǎn)程代碼執(zhí)行（RCE）的方案。Popov表示開(kāi)發(fā)團(tuán)隊(duì)不確定確切的攻擊方式，但是有跡象表明官方的git.php.net服務(wù)器可能受到了攻擊，而不是僅限于單個(gè)Git帳戶受到了攻擊。

安全專家還發(fā)現(xiàn)，腳本中包含這條注釋：REMOVETHIS: sold to zerodium, mid 2017（REMOVETHIS：2017年中出售給zerodium）。但沒(méi)有跡象表明，該漏洞賣家與此次網(wǎng)絡(luò)攻擊有任何關(guān)系。

Zerodium的首席執(zhí)行官Chaouki Bekrar稱真正的罪魁禍為“巨魔”，并公開(kāi)表示：發(fā)現(xiàn)此漏洞的研究人員可能試圖將其出售給許多實(shí)體，但沒(méi)人愿意購(gòu)買......

在將代碼提交到下游，影響用戶之前，官方已檢測(cè)到它，并還原了提交。

目前正在對(duì)安全事件進(jìn)行調(diào)查，并且團(tuán)隊(duì)正在搜尋存儲(chǔ)庫(kù)中是否存在任何其他惡意活動(dòng)跡象。但是與此同時(shí)，開(kāi)發(fā)團(tuán)隊(duì)已決定現(xiàn)在是項(xiàng)目永久遷移到GitHub的合適時(shí)間。

Popov說(shuō)：我們認(rèn)為維護(hù)自己的git基礎(chǔ)結(jié)構(gòu)是不必要的安全風(fēng)險(xiǎn)，并且我們將停止git.php.net服務(wù)器。以前僅是鏡像的GitHub上的存儲(chǔ)庫(kù)將變得規(guī)范，這意味著更改應(yīng)直接推送到GitHub而不是git.php.net?！?/span>

值得注意的是以前具有對(duì)該項(xiàng)目存儲(chǔ)庫(kù)寫訪問(wèn)權(quán)的開(kāi)發(fā)人員現(xiàn)在將需要加入GitHub上的PHP組。

此次安全事件可以描述為供應(yīng)鏈攻擊，其中威脅行動(dòng)者針對(duì)開(kāi)源項(xiàng)目，庫(kù)或大用戶群所依賴的其他組件。進(jìn)行核心目標(biāo)的破壞，其惡意代碼可能會(huì)下潛到廣泛的系統(tǒng)中。 例如最近的一個(gè)例子中SolarWinds的慘敗，該供應(yīng)商的安全遭到重大破壞，被植入了Orion軟件的惡意更新。在部署了該惡意軟件后，包括Microsoft，F(xiàn)ireEye和Mimecast在內(nèi)的數(shù)以萬(wàn)計(jì)的組織都受到了威脅。

鏈接：https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d