炼数成金 门户 大数据 安全 查看内容

PHP 的 Git 服务器遭到攻击:黑客将秘密后门植入源代码中

2021-3-30 09:13| 发布者: 炼数成金_小数| 查看: 8254| 评论: 0|来自: 云头条

摘要: 有人黑入了PHP编程语言的官方Git服务器,并推送了未经授权的更新,将一个秘密的后门植入到源代码中,这是软件供应链遭到攻击的又一个例子。这两个恶意提交的更新被推送到托管在git.php.net服务器上的自托管“php-src ...
有人黑入了PHP编程语言的官方Git服务器,并推送了未经授权的更新,将一个秘密的后门植入到源代码中,这是软件供应链遭到攻击的又一个例子。


这两个恶意提交的更新被推送到托管在git.php.net服务器上的自托管“php-src”存储库中,非法使用了PHP编程语言作者Rasmus Lerdorf和Jetbrains的软件开发人员Nikita Popov的名字。

据称是在昨天3月28日进行这些更改的。

Popov在公告中说:“我们还不知道这到底是怎么发生的,但是一切都表明git.php.net服务器遭到了攻击(而不是单个git帐户遭到了攻击)。”


这些更改是作为“Fix Typo”被提交的,试图蒙混过关,涉及对随意PHP代码的任意执行的规定。PHP开发人员Jake Birchall说:“如果字符串以‘zerodium’开头,这一行就从useragent HTTP标头里面执行PHP代码。”

除了恢复更改外,据说PHP的维护者还在审查存储库,以查找除上述两部分提交以外的任何损坏情况。目前尚不清楚在发现和撤消更改之前是否由其他有关方下载并分发了被篡改的代码库。

这起事件发生后,PHP背后的团队正在做出许多更改,包括将源代码存储库迁移到GitHub,并将更改直接推送到GitHub而不是推送到git.php.net。此外,为PHP项目贡献代码现在要求开发人员作为组织的一部分在GitHub上加以添加。

就在近两个月前,研究人员演示了一种新颖的名为“依赖项混乱”的供应链攻击,这种攻击旨在在目标的内部软件构建系统内执行未经授权的代码。

声明:文章收集于网络,版权归原作者所有,为传播信息而发,如有侵权,请联系小编删除,谢谢!

欢迎加入本站公开兴趣群
软件开发技术群
兴趣范围包括:Java,C/C++,Python,PHP,Ruby,shell等各种语言开发经验交流,各种框架使用,外包项目机会,学习、培训、跳槽等交流
QQ群:26931708

Hadoop源代码研究群
兴趣范围包括:Hadoop源代码解读,改进,优化,分布式系统场景定制,与Hadoop有关的各种开源项目,总之就是玩转Hadoop
QQ群:288410967 

鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

热门频道

  • 大数据
  • 商业智能
  • 量化投资
  • 科学探索
  • 创业

即将开课

 

GMT+8, 2021-4-13 06:32 , Processed in 0.163902 second(s), 25 queries .