Il server per il linguaggio di scripting è stato compromesso domenica.
Il progetto PHP ha annunciato domenica che gli attaccanti sono stati in grado di ottenere l'accesso al suo server principale Git, caricando due commit dannosi, tra cui una backdoor. La scoperta è avvenuta prima della produzione.
PHP è un linguaggio di scripting open-source molto usato per lo sviluppo web. Può essere incorporato in HTML. I commit sono stati inseriti nel repository php-src, offrendo così agli attaccanti l'opportunità di infettare a catena siti web che utilizzano il codice dannoso credendolo legittimo.
I commit "correggevano un errore di battitura" nel codice sorgente. Sono stati caricati utilizzando i nomi dei manutentori di PHP, Rasmus Lerdorf e Nikita Popov, secondo un messaggio inviato da Popov alla mailing list del progetto domenica. Ha aggiunto che non pensava fosse un semplice caso di furto di credenziali.
"Non sappiamo ancora come sia successo esattamente, ma tutto punta verso un compromesso del server di rete git.php.net (piuttosto che un compromesso di un singolo account git)", ha spiegato.
"Dal momento che l'indagine è ancora in corso, abbiamo deciso che mantenere la nostra infrastruttura git è un rischio di sicurezza non necessario, quindi interromperemo il server di rete git.php.", ha spiegato Popov. "Invece, i repository su Github, che prima erano solo mirror, diventeranno canonici. Questo significa che le modifiche verranno inviate direttamente a Github invece che a git.php.net... tra l’altro ora è possibile unire le richieste di estrazione direttamente dall'interfaccia web Github."
Ha anche affermato che PHP sta analizzando tutti i repository alla ricerca di altre corruzioni oltre ai due commit trovati.
"Siamo stati fortunati che i commmit dannosi siano stati rilevati prima che raggiungessero i sistemi di produzione," ha detto Craig Young, principale ricercatore di sicurezza a Tripwire "Se non fossero stati rilevati, il codice avrebbe potuto infettare i repository dei pacchetti binari su cui fanno affidamento innumerevoli aziende. I progetti open-source che auto-ospitano il loro codice repository sono a maggior rischio di questo tipo di attacco alla supply-chain e devono avere processi robusti per rilevare e respingere i commit sospetti."
Trasformare il software supply chain in un’arma
L’utilizzo di repository open-source come veicolo per compromettere siti web e applicazioni non è un evento raro.
Nel mese di marzo, ad esempio, i ricercatori hanno individuato dei pacchetti dannosi che attaccavano applicazioni interne di Amazon, Lyft, Slack e Zillow (tra gli altri) all'interno del repository di codice pubblico npm – che estraevano informazioni sensibili. I pacchetti trasformavano in arma un codice proof-of-concept (Poc) che è stato recentemente ideato dal ricercatore di sicurezza Alex Birsan per iniettare codice rogue nei progetti di sviluppo.
Nel mese di gennaio invece, tre pacchetti software dannosi sono stati pubblicati su npm, mascherati da software legittimi tramite il brandjacking. Tutte le applicazioni danneggiate dal codice potrebbero rubare token e altre informazioni agli utenti della piattaforma Discord.
E nel mese di dicembre, Rubygems, un repository di pacchetti open-source e manager del linguaggio di programmazione web Ruby, ha messo offline due dei suoi pacchetti software dopo che sono stati infettati da malware.