Cibercriminales atacan el servidor Git oficial de PHP para esconder malware

Se ha descubierto un ataque dirigido al servidor Git oficial del lenguaje de programación PHP. Todo indica que la amenaza fue diseñada con el propósito de instalar malware en el código base del proyecto PHP, pero los desarrolladores descubrieron el ataque a tiempo y lograron evitar que genere mayores problemas.

El lenguaje PHP se suele utilizar en el desarrollo de páginas web y puede integrarse en HTML. Nikita Popov, el desarrollador del proyecto que también se encarga de su mantenimiento, confirmó la situación y explicó que los atacantes subieron dos commits maliciosos en el repositorio php-src a su nombre y al del co-creador Rasmus Lerdorf.

A primera vista, los commits parecían errores tipográficos que necesitaban solución pero, vistos más de cerca, intentaban ejecutar códigos arbitrarios en la cabecera useragent HTTP si la cadena de caracteres comenzaba con contenido vinculado con la empresa de seguridad Zerodium. Es decir, que todo indica que el código está diseñado para implantar una puerta trasera y generar un ambiente para facilitar la ejecución remota de código.

No se ha encontrado ningún vínculo entre Zerodium y el ataque, más allá del uso de su nombre por parte de los ciberdelincuentes.

Todavía no se sabe con precisión cómo se llevó a cabo la amenaza, pero todo indica que no se comprometieron cuentas individuales, sino que se vulneró el servidor git.php.net. “Mientras las investigaciones continúan, hemos decidido que mantener nuestra infraestructura git es un riesgo de seguridad innecesario, y descontinuaremos el servidor git.php.net”, informó Nikita Popov. Además, los investigadores de seguridad explorarán los repositorios en busca de otras amenazas.

“Tenemos suerte de que los commits maliciosos se hayan detectado antes de llegar a los sistemas de producción”, dijo Craig Young, investigador de seguridad de TripWire. “De otro modo, el código habría infectado los repositorios de paquetes binarios de los que muchas organizaciones dependen y en los que confían”.

Fuentes

Official PHP Git server targeted in attempt to bury malware in code base ZDNet
PHP Infiltrated with Backdoor Malware Threatpost
PHP’s Git server hacked to add backdoors to PHP source code Bleeping Computer