Хакеры взломали Git-репозиторий PHP для внедрения бэкдора в исходный код

Злоумышленники добавили коммиты, замаскировавшись под разработчиков PHP Расмуса Лердорфа и Никиту Попова. Чтобы скрыть вредительство, хакеры выдавали внесённые изменения за обычное исправление типографических ошибок. На деле же они изменили исходный код языка, чтобы создать удалённо управляемый бэкдор.

В добавленной строке 370, где вызывается функция zend_eval_string, находился код, который фактически внедрял бэкдор для удалённого выполнения кода на сайте с запущенной заражённой версией PHP. По некоторым оценкам, PHP использует около 80% сайтов.

Как пояснили разработчики, строка выполняла PHP-код из HTTP-заголовка пользователя, если содержимое начиналось со слова «zerodium».

Первый злонамеренный коммит был обнаружен через пару часов после внедрения в ходе рутинной проверки кода и немедленно отменён. Как пишет OpenNet, после этого в репозитории появился второй коммит, который отменял действия PHP-разработчиков и возвращал вредоносное изменение.

Расследование инцидента продолжается. По словам специалистов, причиной стал взлом сервера git.php.net, а не учётной записи Git отдельного пользователя. Изменения затронули ветки разработки для версии PHP 8.1, выпуск которой запланирован на конец нынешнего года.

В целях безопасности разработчики решили перенести исходный код PHP на GitHub.