本周一PHP项目宣布遭到黑客攻击,PHP的主Git服务器被非法访问,攻击者上载了两个恶意提交,其中包括后门,但在投入生产环境之前就被发现了。
PHP是最流行的Web开发开源脚本语言之一,代码可嵌入HTML。恶意提交被推送到php-src存储库,从而为攻击者提供了一个供应链攻击机会,感染不知情的网站。
两次提交都声称在源代码中“修正了拼写错误”。根据周日Popov发送到该项目邮件列表的消息,攻击者使用PHP的维护者Rasmus Lerdorf和Nikita Popov的名称上传了这些文件。Popov认为这不仅是凭证盗窃那么简单。
他解释说:“我们还不知道这是怎么发生的,但是一切都指向git.php.net服务器被入侵(而不仅是单个git账户的入侵)。”
为了应对这种黑客攻击,PHP已将其服务器移至GitHub。
“虽然调查仍在进行中,但我们认为维护自己的git基础结构是不必要的安全风险,我们将停止git.php.net服务器,”Popov解释说。“相反,GitHub上以前只是镜像的存储库将成为主存储库。更改将被直接推送到GitHub而不是git.php.net…此更改也意味着现在可以直接在GitHub Web界面合并pull requests请求。”
他还指出,PHP正在检查其所有存储库中是否存在其他恶意提交。
武器化软件供应链
利用开放源代码存储库作为攻击网站和应用程序的手段并不少见。
例如,3月研究人员在npm公共代码存储库中发现了针对Amazon、Lyft、Slack和Zillow(以及其他)内部应用程序的恶意程序包-所有这些程序包都泄露了敏感信息。这些软件包利用了概念验证(PoC)代码依赖关系混淆漏洞,这是安全研究人员Alex Birsan最近设计的,用于将流氓代码注入开发人员项目。
同时在一月,三个恶意软件包被发布到npm,通过使用brandjacking伪装成合法代码。研究人员说,任何被代码入侵的应用程序都可能从Discord用户那里窃取令牌和其他信息。
去年12月,人们在RubyGems(一个用于Ruby Web编程语言的开源软件包存储库和管理器)中发现两个带有恶意软件的软件包,随后将其两个软件包脱机。