Le Git de PHP piraté dans le but d’ajouter une backdoor au code source !

Cette semaine commence par une belle attaque de type "Supply Chain" : des pirates se sont attaqués à PHP directement dans le but d'injecter une porte dérobée dans le code source.

Imaginez une version de PHP qui intègre à son code source une porte dérobée : ce langage est utilisé sur 79% des sites Internet du monde entier. Chaque machine qui installe cette version de PHP aurait intégré par la même occasion la porte dérobée.

Il y a eu deux push malicieux sur le dépôt Git nommé "php-src" et géré par l'équipe PHP directement sur le serveur git.php.net. Ces commits sur le Git de PHP ont été réalisés par des hackers et signés directement comme si c'était deux développeurs connus de PHP : Rasmus Lerdorf et Nikita Popov.

Quelques heures ont étaient nécessaires à l'équipe de PHP pour détecter le premier commit. Il y a un processus interne qui implique de réviser chaque commit, ce qui a permis de détecter la présence de ce code malveillant. C'est le nom de Rasmus Lerdorf, créateur de PHP, qui est associé à ce premier commit : surprenant et particulièrement trompeur. Ce code malveillant permet d'insérer une porte dérobée qui offre la possibilité à l'attaquant d'exécuter du code à distance (RCE) sur le serveur qui utilise la version malveillante de PHP.

Git de PHP piraté

Nikita Popov, développeur de l'équipe PHP, affirme que les changements opérés sur le serveur Git par les pirates touchent la branche de développement de PHP 8.1. Cette version de PHP est prévue pour la fin de l'année 2021.

Par précautions, l'équipe qui maintient PHP a pris la décision de migrer de son serveur Git interne vers GitHub directement pour héberger les sources officielles de PHP. Autrement dit, le serveur git.php.net va être abandonné au profit de GitHub pour la suite du développement de PHP. Jusqu'ici, GitHub était seulement utilisé en guise de miroir. En complément, l'authentification multi-facteurs sera imposée sur les comptes GitHub des contributeurs.

En complément, les équipes de PHP vont examiner les dépôts pour détecter une éventuelle corruption au-delà des deux commits détectés au niveau de Git.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3377 posts and counting.See all posts by florian

3 thoughts on “Le Git de PHP piraté dans le but d’ajouter une backdoor au code source !

Répondre à Nicolas Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.