Deux modifications malveillantes ont été apportées à la branche de développement du prochain PHP v8.1 dans le but d’ajouter une porte dérobée à tout site Web qui exécute cette version corrompue du langage de développement Web populaire.
Alors que le code répréhensible a été capturé et supprimé en quelques heures, étant donné que PHP alimente près de 80% de tous les sites Web sur Internet, les développeurs PHP ont apporté des changements infrastructurels clés pendant qu’ils enquêtent sur l’incident.
«Alors que l’enquête est toujours en cours, nous avons décidé que le maintien de notre propre infrastructure git est un risque de sécurité inutile, et que nous allons interrompre le serveur git.php.net», a déclaré Nikita Popov, responsable de PHP.
Nous examinons comment nos lecteurs utilisent VPN pour un prochain rapport détaillé. Nous aimerions connaître votre opinion dans le sondage ci-dessous. Cela ne prendra pas plus de 60 secondes de votre temps.
>> Cliquez ici pour démarrer l’enquête dans une nouvelle fenêtre <
Sommaire
Renforcer la sécurité
Les acteurs de la menace ont effectué les deux changements de code au nom de Popov et du co-auteur de PHP, Rasmus Lerdorf.
Les deux changements ont été innocemment légendés pour indiquer qu’ils corrigeaient les fautes de frappe dans le code. Étant donné que toutes les modifications sont soumises à un examen obligatoire du code après la validation, les véritables intentions des modifications malveillantes ont rapidement été élucidées.
Les acteurs de la menace ont dû supposer que l’utilisation du nom de développeurs PHP seniors ne soumettrait pas les modifications à un examen détaillé, en particulier pour quelque chose d’aussi trivial qu’une correction de faute de frappe. Leur schéma s’est effondré quand un développeur PHP a demandé à Lerdorf d’expliquer l’intention du code qui avait été commis en son nom.
Popov a ajouté que bien que les développeurs ne sachent pas exactement ce qui a permis aux acteurs de la menace d’apporter les modifications, les preuves prima facie indiquent un compromis du serveur git de PHP, plutôt qu’un compromis d’un compte git individuel.
C’est pourquoi, même pendant que les développeurs enquêtent sur l’attaque, ils ont déplacé le développement PHP vers GitHub, ce qui met une lourde responsabilité sur la sécurité.
Popov arrondit en partageant que les développeurs examinent les référentiels pour toute corruption au-delà des deux changements qui ont été détectés.
Via: BleepingComputer
