黑客破坏 PHP 的 Git 服务器，并在源代码中插入了后门

未知的攻击者入侵了PHP编程语言的官方Git服务器，并推送了未经授权的更新，以在源代码中插入后门。

3月28日，攻击者向git.php.net服务器上托管的“ php-src”存储库提交了两次提交，他们使用了PHP的作者Rasmus Lerdorf和Jetbrains开发人员Nikita Popov的帐户。

该项目的维护者正在调查供应链攻击，专家认为，攻击者已经破坏了git.php.net服务器。

“我们还不知道这是怎么发生的，但是一切都指向git.php.net服务器的危害（而不是单个git帐户的危害）。” 波波夫写道。“虽然调查仍在进行中，但我们已决定维护自己的git基础结构是不必要的安全风险，并且我们将停止git.php.net服务器。取而代之的是，GitHub上以前只是镜像的存储库将变得规范。这意味着更改应直接推送到GitHub，而不是git.php.net。”*

PHP的维护人员恢复了更改，并正在检查存储库，以检测除了两个引用的提交之外的任何其他危害证据。

将来，为了访问存储库，用户现在需要成为GitHub上php组织的一部分，并且他们的帐户将启用2FA。采用此新配置，可以直接从GitHub Web界面合并请求。

目前，尚不清楚在检测到恶意提交之前是否由其他方下载并分发了后门。

对恶意代码的分析显示，存在字符串“ Zerodium”，这是最受欢迎的零日经纪人之一的名称。

尽管在后门代码中引用了Zerodium，但没有证据表明该恶意软件旨在作为概念证明（PoC）出售给0day经纪人