PHP представляет собой скриптовый язык с открытым исходным кодом, который веб-разработчики встраивают в HTML для управления динамическим контентом, базами данных и решения других каждодневных задач. Проект PHP поддерживает репозитории в собственной инфраструктуре git. В прошлые выходные кто-то отправил вредоносные коммиты, которые могли позволить хакерам атаковать веб-сайты, использующие репозитории PHP.

Злоумышленники загрузили две вредоносные программы на сервер PHP git, одна из которых создала бы бэкдор на сайтах с поддержкой PHP. Оба были вовремя найдены и устранены. Два коммита были помещены в репозиторий php-src в воскресенье под именами вносящих вклад в развитие PHP пользователей Никиты Попова (nikic) и Расмуса Лердорфа (rlerdorf).

В описаниях говорилось, что код содержит «исправление опечаток». Попов немедленно выступил с заявлением, в котором говорится, что он и Лердорф не знают, как злоумышленники загрузили вредоносный код под их именами, но думают, что кто-то с push-доступом взломал сервер.

«Вчера (2021-03-28) в репозиторий php-src были внесены два вредоносных обновления от имени Расмуса Лердорфа и меня», - написал Попов. «Мы ещё не знаем, как именно это произошло, но всё указывает на компрометацию сервера git.php.net (а не на компрометацию отдельной учётной записи git)».

В результате атаки было принято решение, что поддержка проекта на собственном сервере git является «ненужной угрозой безопасности». Репозитории проекта GitHub, которые раньше были просто зеркалами, теперь станут каноническими, а сервер git.php.net будет отключен. Участники проекта должны присоединиться к организации PHP на GitHub, чтобы отправлять правки в код.

Попов отмечает, что в качестве дополнительной меры предосторожности они проверяют все репозитории на предмет любых других возможных «повреждений», и просит сообщать при обнаружении чего-либо подозрительного.