Un actor malicioso desconocido ha comprometido el repositorio oficial de PHP Git en un intento de agregar puertas traseras al código base del proyecto PHP.
Según el desarrollador y mantenedor del lenguaje de programación PHP Nikita Popov, el incidente tuvo lugar el pasado sábado 28 de marzo. Dijo que se enviaron dos confirmaciones maliciosas al repositorio php-src tanto en su nombre como en el del creador de PHP Rasmus Lerdorf.
"Aún no sabemos exactamente cómo sucedió esto, pero todo apunta a un compromiso del servidor git.php.net (en lugar de un compromiso de una cuenta individual de git)", explicó Popov, y agregó que los encargados de mantenimiento decidieron descontinuar el servidor git.php.net porque "mantener nuestra propia infraestructura git es un riesgo de seguridad innecesario".
"Esto significa que los cambios deben enviarse directamente a GitHub en lugar de a git.php.net", dijo Popov.
Las confirmaciones maliciosas se disfrazaron como errores tipográficos benignos que debían corregirse, sin embargo, al observar más de cerca la línea 370 donde se llama a la función zend_eval_string, los colaboradores notaron que el código en realidad agrega una puerta trasera que permite la ejecución de código malicioso en un sitio web que ejecuta el vulnerable Versión PHP. El código malicioso se ejecuta desde el encabezado HTTP useragent, si la cadena comienza con 'zerodium', el nombre de un conocido vendedor de exploits.
Al comentar sobre la situación, el director ejecutivo de Zerodium, Chaouki Bekrar, calificó al culpable de "troll" y dijo que su empresa "no tiene nada que ver con esto".
"Probablemente, los investigadores que encontraron este error / exploit trataron de venderlo a muchas entidades, pero ninguna quería comprar esta basura, así que la quemaron por diversión", tuiteó Bekrar .
