黑客破壞 PHP 的 Git 服務器，并在源代碼中插入了后門

未知的攻擊者入侵了PHP編程語言的官方Git服務器，并推送了未經授權的更新，以在源代碼中插入后門。

3月28日，攻擊者向git.php.net服務器上托管的“ php-src”存儲庫提交了兩次提交，他們使用了PHP的作者Rasmus Lerdorf和Jetbrains開發人員Nikita Popov的帳戶。

該項目的維護者正在調查供應鏈攻擊，專家認為，攻擊者已經破壞了git.php.net服務器。

“我們還不知道這是怎么發生的，但是一切都指向git.php.net服務器的危害（而不是單個git帳戶的危害）。” 波波夫寫道。“雖然調查仍在進行中，但我們已決定維護自己的git基礎結構是不必要的安全風險，并且我們將停止git.php.net服務器。取而代之的是，GitHub上以前只是鏡像的存儲庫將變得規范。這意味著更改應直接推送到GitHub，而不是git.php.net。”*

PHP的維護人員恢復了更改，并正在檢查存儲庫，以檢測除了兩個引用的提交之外的任何其他危害證據。

將來，為了訪問存儲庫，用戶現在需要成為GitHub上php組織的一部分，并且他們的帳戶將啟用2FA。采用此新配置，可以直接從GitHub Web界面合并請求。

目前，尚不清楚在檢測到惡意提交之前是否由其他方下載并分發了后門。

對惡意代碼的分析顯示，存在字符串“ Zerodium”，這是最受歡迎的零日經紀人之一的名稱。

盡管在后門代碼中引用了Zerodium，但沒有證據表明該惡意軟件旨在作為概念證明（PoC）出售給0day經紀人