Agentes no identificados irrumpieron en el servidor oficial de Git para el lenguaje de programación PHP y enviaron actualizaciones no autorizadas para insertar una puerta trasera secreta en el código fuente. La modificación se produjo a través de dos confirmaciones maliciosas (cargas definitivas), enviadas al repositorio autohospedado “php-src”, en el servidor git.php.net. La acción fue tomada ayer, 28 de marzo, por personas que usaron ilegalmente los nombres de los desarrolladores Rasmus Lerdorf, uno de los autores de PHP, y Nikita Popov, un desarrollador de software en Jetbrains y también administrador de PHP.
vea eso
Brasil tuvo más de 8.400 millones de intentos de ciberataques en 2020
La nueva variante de Mirai aprovecha la brecha en los enrutadores de Comtrend
Alrededor de las 8 pm Brasilia, Popov publicó un comunicado explicando el hecho: “Ayer (2021-03-28) se enviaron dos confirmaciones maliciosas al repositorio php-src con los nombres de Rasmus Lerdorf y yo. Todavía no sabemos exactamente cómo sucedió, pero todo apunta a un compromiso en el servidor git.php.net (en lugar de comprometer una cuenta individual de git). Si bien la investigación aún está en curso, hemos decidido que mantener nuestra propia infraestructura git es un riesgo de seguridad innecesario, y vamos a descontinuar el servidor git.php.net. En cambio, los repositorios en GitHub, que solían ser solo espejos, se volverán canónicos. Esto significa que los cambios deben enviarse directamente a GitHub en lugar de ir a git.php.net.
Aunque el acceso de escritura anterior a los repositorios se realizó a través de nuestro sistema de karma interno, ahora debe ser parte de la organización php en GitHub. Si aún no es parte de la organización, o no tiene acceso a un repositorio al que debería tener acceso, contácteme en [email protected] con los nombres de su cuenta de php.net y GitHub, así como los permisos que está perdiendo actualmente. Miembro de la organización
requiere que 2FA esté habilitado. Este cambio también significa que ahora es posible fusionar solicitudes de extracción
directamente desde la interfaz web de GitHub. Estamos revisando los repositorios en busca de daños más allá de las dos confirmaciones a las que se hace referencia. Entre en contacto con [email protected] si notas algo“.
Los cambios se informaron como “Corrección de un error tipográfico”, en un intento de inducir a error, implicaban disposiciones para la ejecución de código PHP arbitrario. “Esta línea ejecuta el código PHP desde dentro del encabezado HTTP useragent (” HTTP_USER_AGENTT “), si la cadena comienza con ‘zerodium'”, dijo el desarrollador de PHP Jake Birchall. Además de revertir los cambios, los mantenedores de PHP están revisando los repositorios. No está claro si el código base adulterado se descargó y distribuyó antes de que los cambios fueran detectados y revertidos.
Con agencias de noticias internacionales
.
Fuente: https://www.cisoadvisor.com.br/codigo-fonte-do-php-foi-contaminado-com-backdoor/?rand=59052
