行业报告 AI展会 数据标注 数据集
投稿发布
您的当前位置:主页 > 数据挖掘 > 正文

PHP 的 Git 服务器遭到攻击:黑客将秘密后门植入

来源: 时间:2021-04-16
有人黑入了PHP编程语言的官方Git服务器,并推送了未经授权的更新,将一个秘密的后门植入到源代码中,这是软件供应链遭到攻击的又一个例子。
 

 

 
这两个恶意提交的更新被推送到托管在git.php.net服务器上的自托管“php-src”存储库中,非法使用了PHP编程语言作者Rasmus Lerdorf和Jetbrains的软件开发人员Nikita Popov的名字。
 
据称是在昨天3月28日进行这些更改的。
 
Popov在公告中说:“我们还不知道这到底是怎么发生的,但是一切都表明git.php.net服务器遭到了攻击(而不是单个git帐户遭到了攻击)。”
 

 

 
这些更改是作为“Fix Typo”被提交的,试图蒙混过关,涉及对随意PHP代码的任意执行的规定。PHP开发人员Jake Birchall说:“如果字符串以‘zerodium’开头,这一行就从useragent HTTP标头里面执行PHP代码。”
 
除了恢复更改外,据说PHP的维护者还在审查存储库,以查找除上述两部分提交以外的任何损坏情况。目前尚不清楚在发现和撤消更改之前是否由其他有关方下载并分发了被篡改的代码库。
 
这起事件发生后,PHP背后的团队正在做出许多更改,包括将源代码存储库迁移到GitHub,并将更改直接推送到GitHub而不是推送到git.php.net。此外,为PHP项目贡献代码现在要求开发人员作为组织的一部分在GitHub上加以添加。
 
就在近两个月前,研究人员演示了一种新颖的名为“依赖项混乱”的供应链攻击,这种攻击旨在在目标的内部软件构建系统内执行未经授权的代码。
 
声明:文章收集于网络,版权归原作者所有,为传播信息而发,如有侵权,请联系小编删除,谢谢!
 
 

人工智能交流群扫码邀请
人工智能交流群扫码邀请


转发量:

上一篇:使用Go语言编写的恶意软件激增2000%
下一篇:没有了

网友评论:

发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
数据标注服务

Copyright©2005-2020 Sykv.com 可思数据 版权所有    京ICP备14056871号-1

关于我们   免责声明   广告合作   版权声明   联系我们   原创投稿   网站地图  

可思数据 数据标注行业联盟

人工智能资讯   人工智能资讯   人工智能资讯   人工智能资讯

人工智能资讯
扫码入群
扫码关注

微信公众号

返回顶部