“燕云实验室”是河北千诚电子科技有限公司成立的网络安全攻防技术研究实验室。专注于web安全,网络攻防,安全运维,应急溯源方面的研究,开发成果应用于产品核心技术转化,国家重点科技项目攻关。
在最新的软件供应链攻击的中,黑客入侵了PHP编程语言的官方Git服务器,并推动了未经授权的更新,代码库被篡改,将一个秘密的后门植入到源代码中。
昨天,PHP 团队在 git.php.net 服务器上维护的 php-src Git 仓库中被推送了两个恶意提交。攻击者在上游提交了一个神秘的改动,称其正在"修复排版",假装这是一个小的排版更正,并且伪造签名,让人以为这些提交是由已知的PHP开发者和作者Rasmus Lerdorf和Microsoft的软件开发人员Nikita Popov完成的。
实际上,攻击者的恶意提交是植入了远程代码执行后门。考虑到PHP仍然是服务器端编程语言,为互联网上超过79%的网站提供支持,这一事件令人震惊。新增的第370行调用zend_eval_string函数的地方,这段代码实际上是为运行这个被劫持的PHP版本的网站埋下了一个后门,以获取轻松的远程代码执行(RCE)。
"如果字符串以'zerodium'开头,这一行就会从useragent HTTP头内执行PHP代码。"PHP开发者Jake Birchall向最先指出这一异常的Michael Voříšek回应道
除了恢复所做的更改外,据说PHP的维护者正在审查存储库中是否存在上述两次提交以外的任何损坏。目前尚不清楚在发现和撤消更改之前是否由其他方下载并分发了被篡改的代码库。这次恶意活动源于被入侵的git.php.net服务器,而不是个人的Git账户被入侵。"虽然调查仍在进行中,维护自己的git基础设施是一个不必要的安全风险,"作为此次事件后的预防措施,PHP维护人员决定停止使用git.php.net服务器。将PHP官方源码库迁移至GitHub,并将更改直接推送到GitHub而不是git.php.net。
那些有兴趣为PHP项目做出贡献的人现在需要在GitHub上被添加为PHP组织的一部分。相关说明在同一个安全公告中提供。
要成为该组织的成员,你需要在你的GitHub账户上启用双因素认证(2FA)。"我们正在审查仓库中除了两个引用的提交之外的任何损坏,在此期间,它可能被克隆/分叉,但这些更改并没有进入任何标签或发布工件中。"
"这些改动是在PHP 8.1的开发分支上,该分支将在年底发布。"PHP团队已经证实,他们计划在接下来的日子里最终退役他们的git服务器,并永久转移到GitHub。
