News

Cibercriminales atacan el servidor Git oficial de PHP para esconder malware

Se ha descubierto un ataque dirigido al servidor Git oficial del lenguaje de programación PHP. Todo indica que la amenaza fue diseñada con el propósito de instalar malware en el código base del proyecto PHP, pero los desarrolladores descubrieron el ataque a tiempo y lograron evitar que genere mayores problemas.

El lenguaje PHP se suele utilizar en el desarrollo de páginas web y puede integrarse en HTML. Nikita Popov, el desarrollador del proyecto que también se encarga de su mantenimiento, confirmó la situación y explicó que los atacantes subieron dos commits maliciosos en el repositorio php-src a su nombre y al del co-creador Rasmus Lerdorf.

A primera vista, los commits parecían errores tipográficos que necesitaban solución pero, vistos más de cerca, intentaban ejecutar códigos arbitrarios en la cabecera useragent HTTP si la cadena de caracteres comenzaba con contenido vinculado con la empresa de seguridad Zerodium. Es decir, que todo indica que el código está diseñado para implantar una puerta trasera y generar un ambiente para facilitar la ejecución remota de código.

No se ha encontrado ningún vínculo entre Zerodium y el ataque, más allá del uso de su nombre por parte de los ciberdelincuentes.

Todavía no se sabe con precisión cómo se llevó a cabo la amenaza, pero todo indica que no se comprometieron cuentas individuales, sino que se vulneró el servidor git.php.net. “Mientras las investigaciones continúan, hemos decidido que mantener nuestra infraestructura git es un riesgo de seguridad innecesario, y descontinuaremos el servidor git.php.net”, informó Nikita Popov. Además, los investigadores de seguridad explorarán los repositorios en busca de otras amenazas.

“Tenemos suerte de que los commits maliciosos se hayan detectado antes de llegar a los sistemas de producción”, dijo Craig Young, investigador de seguridad de TripWire. “De otro modo, el código habría infectado los repositorios de paquetes binarios de los que muchas organizaciones dependen y en los que confían”.

Fuentes

Official PHP Git server targeted in attempt to bury malware in code base ZDNet
PHP Infiltrated with Backdoor Malware Threatpost
PHP’s Git server hacked to add backdoors to PHP source code Bleeping Computer

Cibercriminales atacan el servidor Git oficial de PHP para esconder malware

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada