Киберпреступники взломали официальный Git-репозиторий PHP с целью внедрения двух вредоносных коммитов и изменения кодовой базы.

Злоумышленники добавили коммиты, замаскировавшись под разработчиков языка PHP Расмуса Лердорфа (Rasmus Lerdorf) и Никиту Попова. Хакеры пытались скрыть свою вредоносную деятельность и выдавали внедренные изменения за обычное исправление типографических ошибок. На самом же деле они изменили исходный код PHP для внедрения удаленно управляемого бэкдора.

В добавленной строке 370, где вызывается функция zend_eval_string, находился код, который фактически внедрял бэкдор для удаленного выполнения кода на web-сайте с запущенной зараженной версией PHP.

Расследование инцидента продолжается, и по словам специалистов, вредоносное изменение возникло в результате взлома сервера git.php.net, а не из-за взлома учетной записи Git отдельного пользователя. Изменения затронули ветки разработки для версии PHP 8.1, выпуск которой запланирован на конец нынешнего года.

Разработчики также приняли решение перенести исходный код PHP в репозиторий на GitHub в целях безопасности.

Источник: securitylab.ru