Hackean servidor Git de PHP para agregar backdoors al código

El servidor Git oficial de PHP ha sido hackeado con el fin, según Nikita Popov, de implantar malware en el código base del proyecto PHP.

Según Popov, que confirmó el hackeo en un mensaje publicado el pasado domingo, se publicaron dos commits maliciosos en el repositorio php-src, el que tiene el código base del lenguaje, tanto en su nombre como en el del creador de PHP, Rasmus Lerdorf.

Ambos commits, firmados como hemos dicho aparentemente por Popov y Lerdorf, contenían supuestamente errores tipográficos sencillos que necesitaban solucionarse, y así estaban etiquetados. Pero la realidad era bien distinta. Cuando los desarrolladores que contribuyen habitualmente al desarrollo de PHP echaron un vistazo a los commits detectaron que contenían código malicioso que activaba código arbitrario en la cabecera useragent HTTP si una cadena comenzaba con contenido relacionado con Zerodium.

El CEO de esta organización, Chaoudi Bekrar, ha calificado al culpable, de troll, y ha comentado que «probablemente, el investigador o investigadores que descubrieron este bug o exploit intentaron venderlo a muchas entidades, pero ninguna quiso comprar esta tontería, así que lo dejaron para divertirse«. Por suerte, los commits dañinos se detectaron a tiempo y pudieron revertirse antes de que impactasen a los usuarios o se propagasen.

Todo apunta, según Bleeping Computer, a que el código estaba diseñado para implantar un backdoor y crear un escenario, gracias a este, en el que se pudiese llevar a cabo una ejecución remota de código. Según Popov, el equipo de desarrollo de PHP no está del todo seguro de cómo se llevó a cabo el ataque, pero hay indicios de que el servidor oficial git.php.net fue comprometido y fue el medio que utilizaron los atacantes para publicar los commits. Para ellos es la opción más probable, y no creen que se llevase a cabo a través de cuentas personales de Git.

Por ahora se ha abierto una investigación del incidente, y el equipo de PHP está revisando el repositorio en busca de cualquier otra señal de actividad maliciosa. Mientras tanto, eso sí, el equipo de desarrollo ha decidido que este es el momento adecuado para mover el proyecto de desarrollo y mantenimiento de PHP y todo lo relacionado con él a GitHub de manera permanente.

Así lo ha confirmado Popov, que ha señalado que han decidido que mantener su propia infraestructura de git «es un riesgo de seguridad innecesario, y descontinuaremos el servidor git.php.net. En vez de ese, los repositorios en Github, que hasta ahora solo eran mirrors, se convertirán en los principales. Esto quiere decir que los cambios deberán subirse directamente a GutHub en vez de a git.php.net«. Para ello, los desarrolladores con permiso de escritura en los repositorios del proyecto tendrán que unirse al grupo PHP en Github.