Спецпроекты

В код языка PHP внедрили бэкдоры от имени известных разработчиков

ПО Свободное ПО Безопасность Администратору Стратегия безопасности Пользователю

Неизвестные скомпрометировали официальный Git-репозиторий проекта PHP и внесли вредоносные изменения от имени двух известных разработчиков. Теперь проект переезжает на GitHub.

Бэкдор для PHP

Неизвестные злоумышленники смогли взломать официальный Git-репозиторий открытого языка программирования PHP для написания web-приложений, исполняющихся на веб-сервере. В исходный код ПО были внедрены бэкдоры.

Репозиторий php-src располагается на сервере git.php.net. Злоумышленники добавили туда обновления, якобы исходившие от известных разработчиков PHP Расмуса Лердорфа (Rasmus Lerdorf) и Никиты Попова. Обновления выдавались за простое исправление орфографических ошибок, на деле же формировали бэкдор с возможностью запуска произвольного кода на веб-сайте, функционирующем на базе скомпрометированной версии PHP.

Аномалию обнаружили в течение дня. Уже 29 марта 2021 г., на следующий день после появления вредоносного кода, Никита Попов опубликовал сообщение об инциденте. Он отметил, что расследование продолжается, и что в дальнейшем проект PHP прекращает поддержку собственного репозитория и связанного с ним сервера git.php.net, поскольку это создает ненужные риски безопасности. Официальными («каноничными») отныне будут репозитории внутри GitHub, ранее использовавшиеся только в качестве зеркал.

backdoor600.jpg
В исходном коде языка PHP прописали бэкдоры

Попов также сообщил, что все репозитории PHP будут проверены на предмет вредоносных обновлений, поскольку не исключено, что диверсия не ограничилась только этими двумя «нововведениями».

Система контроля версий Git позволяет локально приписывать обновления (фиксированные состояния) любому другому разработчику, так что при загрузке на удаленный Git-сервер все будет выглядеть так, будто обновления загружены именно тем человеком, которому они приписаны.

Сервер как улика

В данном случае, однако, есть основания полагать, что скомпрометирован был именно сервер git.php.net, указывается в материале Bleeping Computer.На данный момент разработчики и команда по кибербезопасности PHP пытаются понять, попали ли вредоносные обновления исходного кода в чьи-либо сборки.

Внесенные изменения предполагались для версии PHP 8.1, релиз которой запланирован на конец 2021 г.

«С одной стороны, это атака из серии “худший кошмар разработчика”, и не удивлюсь, если ее заметили-то по чистой случайности, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — С другой, именно тем и хороши опенсорсные проекты, что вероятность заметить такую компрометацию выше просто в силу большого числа людей, занимающихся инспекцией кода. Если бы эту попытку саботажа не заметили, под угрозой оказались бы сотни тысяч веб-ресурсов».