Ha ocurridodurante este fin de semana, concretamente el domingo 28 de marzo, según publica Genbeta,un grupo de hackers han logrado acceder al repositorio GIT interno del lenguaje de programación PHP. Por PHP entendemos el lenguaje de programación de uso general que se adapta especialmente al desarrollo web. Fue creado inicialmente por el programador danés-canadiense Rasmus Lerdorf en 1994. En la actualidad, la implementación de referencia de PHP es producida por The PHP Group, y se usa en la inmensa mayoría de los sitios web. Por ello este ataque es de una enorme gravedad. Los atacantes consiguieron llegar al repositorio GIT Interno y colocaron una puerta trasera al código fuente.
Según explica el Blog de Hispasec,el equipo de desarrollo de PHPse dio cuenta de que dos confirmaciones en el código fuente(o commits) del repositorio php-src incluían código malicioso. Los atacantes firmaron los commits haciéndose pasar por miembros conocidos del proyecto, Rasmus Lerdorf (creador del lenguaje) y Nikita Popov (desarrollador en la empresa Jetbrains en el equipo de PhpStorm).
Desde PHP no se han andado con rodeos. Este es el mensaje que han enviado Nikita Popov a la lista interna de correo de la empresa:
Ayer (2021-03-28) se enviaron dos confirmaciones maliciosas al php-src repo [1] de los nombres de Rasmus Lerdorf y yo. Aun no sabemos como exactamente esto sucedió, pero todo apunta a un compromiso de la servidor git.php.net (en lugar de comprometer una cuenta individual de git).
Si bien la investigación aún está en curso, hemos decidido que mantener nuestra propia infraestructura de Git es un riesgo de seguridad innecesario y que es preciso discontinuar el servidor git.php.net. Por el contrario, los repositorios de GitHub, que antes eran solo espejos, se volverán canónicos. Ello significa que los cambios deben enviarse directamente GitHub en lugar de a git.php.net.
En la lista de correos de PHP da más instrucciones a los usuarios y afirma que "estamos revisando los repositorios para detectar cualquier corrupción más allá de las dos referenciadas. Póngase en contacto con security@php si nota algo. Saludos Nikita
Zerodium niega cualquier vinculación con el hackeo de PHP
Evidentemente, todo parece indicar que el el servidor oficial git.php.net fue comprometido. Según explica Genbetta, la puerta trasera ha sido detectada por Michael Michael Voříšek, un ingeniero de software checo. Si el código malicioso hubiera llegado a producción, permitiría a los hackers ejecutar sus propios comandos PHP maliciosos en los servidores de las víctimas. Para poner en marcha la ejecución , había que enviar una petición HTTP a un servidor e iniciar el mensaje con un agente de usuario que utilizara la palabra Zerodium. Zerodium es una plataforma de compra de exploits y vulnerabilidades. Según algunos expertos, a PHP más le vale tener cuidado, la puerta trasera funcionaría.
Chaouki Bekrar, CEO de Zerodium ha negado cualquier relación con el incidente desde sus cuentas en redes sociales con este mensaje irónico: "Saludos al troll que puso "Zerodium" en las confirmaciones comprometidas de git PHP de hoy. Obviamente, no tenemos nada que ver con esto. Probablemente, los investigadores que encontraron este error / exploit intentaron venderlo a muchas entidades, pero ninguna quería comprar esta porquería, así que lo quemaron por diversión".
Los atacantes añadieron un mensaje en uno de los parámetros de la función de ejecución: “REMOVETHIS: sold to zerodium, mid 2017". Con ello se intentaba implicar a Zerodium. Según Genbeta nadie sabe qué es lo que se vendió a la compañía, ni si se vendió algo en realidad.