Dans une autre instance d’attaque de la chaîne logistique logicielle, le référentiel PHP GitHub officiel a été falsifié pour insérer des mises à jour non autorisées.
Les deux commits malveillants ont été poussés vers le référentiel « php-src » hébergé sur le serveur git.php.net, en utilisant illicitement les noms de Rasmus Lerdorf, l’auteur du langage de programmation, et Nikita Popov, un développeur de logiciels chez Jetbrains.
Les changements auraient été apportés hier, le 28 mars.
«Nous ne savons pas encore exactement comment cela s’est passé, mais tout indique un compromis du serveur git.php.net (plutôt qu’un compromis d’un compte git individuel», a déclaré Popov m’a dit dans une annonce.
Les changements, qui étaient engagé comme « Correction d’une faute de frappe« dans une tentative de passer inaperçu en tant que correction typographique, impliquait des dispositions pour l’exécution arbitraire de code PHP arbitraire. » Cette ligne exécute le code PHP à partir de l’en-tête HTTP useragent, si la chaîne commence par ‘zerodium’, « développeur PHP Jake Dit Birchall.
outre revenant les changements, on dit que les mainteneurs de PHP examinent les dépôts pour toute corruption au-delà des deux commits susmentionnés. De plus, contribuer au projet PHP nécessitera désormais l’ajout de développeurs au sein de l’organisation sur GitHub.
Il n’est pas immédiatement clair si la base de code altérée a été téléchargée et distribuée par d’autres parties avant que les modifications ne soient repérées et annulées.
Nous avons contacté les responsables de PHP pour plus de commentaires, et nous mettrons à jour l’histoire si nous avons de nouvelles.