Мы ежедневно публикуем обзор событий со всего мира на самые разнообразные тематики. Новости новых технологий и происшествий
Финансы

В код языка PHP внедрили бэкдоры от имени известных разработчиков

78

Бэкдор для PHP

Неизвестные злоумышленники смогли взломать
официальный Git-репозиторий открытого
языка программирования PHP для написания web-приложений,
исполняющихся на веб-сервере. В исходный код ПО были внедрены бэкдоры.

Репозиторий php-src располагается на сервере
git.php.net. Злоумышленники добавили туда обновления, якобы исходившие от
известных разработчиков PHP Расмуса
Лердорфа (Rasmus
Lerdorf) и Никиты Попова. Обновления выдавались за
простое исправление орфографических ошибок, на деле же формировали бэкдор с
возможностью запуска произвольного кода на веб-сайте, функционирующем на базе
скомпрометированной версии PHP.

Аномалию обнаружили в течение дня. Уже 29 марта 2021 г., на следующий день
после появления вредоносного кода, Никита Попов опубликовал сообщение об
инциденте. Он
отметил, что расследование продолжается, и что в дальнейшем проект PHP прекращает поддержку
собственного репозитория и связанного с ним сервера git.php.net, поскольку это
создает ненужные
риски безопасности. Официальными («каноничными») отныне будут репозитории
внутри GitHub, ранее использовавшиеся только в качестве зеркал.

В код языка PHP внедрили бэкдоры от имени известных разработчиков

В исходном коде языка PHP прописали бэкдоры

Попов также сообщил, что все репозитории PHP
будут проверены на предмет вредоносных обновлений, поскольку не исключено, что
диверсия не ограничилась только этими двумя «нововведениями».

Система контроля версий Git позволяет локально
приписывать обновления (фиксированные состояния) любому другому разработчику,
так что при загрузке на удаленный Git-сервер все будет выглядеть так, будто обновления загружены именно тем человеком, которому они
приписаны.

Сервер
как улика

В данном случае, однако, есть основания
полагать, что скомпрометирован был именно сервер git.php.net, указывается в
материале Bleeping Computer.На данный момент разработчики и команда по кибербезопасности PHP
пытаются понять, попали ли вредоносные обновления исходного кода в чьи-либо
сборки.

Внесенные изменения предполагались для версии PHP 8.1,
релиз которой запланирован на конец 2021
г.

«С одной стороны, это
атака из серии “худший кошмар разработчика”, и не удивлюсь, если ее заметили-то
по чистой случайности, — говорит Михаил
Зайцев, эксперт по информационной безопасности компании SEC Consult
Services. — С другой, именно тем и хороши опенсорсные проекты, что вероятность
заметить такую компрометацию выше просто в силу большого числа людей,
занимающихся инспекцией кода. Если бы эту попытку саботажа не заметили, под
угрозой оказались бы сотни тысяч веб-ресурсов».

Вам также могут понравиться Еще от автора