PHP gehackt: backdoors nipt voorkomen

De hack op de Git-server wordt nog onderzocht, maar een eerste bevinding is al dat individuele accounts van de PHP-ontwikkelaars niet zijn gehackt. Dit laat maintainer Nikita Popov weten in een securitymelding. "Gisteren (2021-03-28) zijn twee kwaadaardige commits gepushed naar de php-src repo vanuit de namen van Rasmus Lerdorf en mij."

Tikfoutjes

De pogingen om backdoors te implanteren in de scripttaal zijn gefaciliteerd via een hack van de git.php.net-server, meldt Popov. Hij is als ontwikkelaar in dienst bij JetBrains, een maker van developmenttools die eerder door de New York Times is geïmpliceerd in de geruchtmakende SolarWinds-backdooroperatie. Na de initiële, niet onderbouwde beschuldiging aan het adres van JetBrains is het echter stil gebleven.

De nu ontdekte pogingen om PHP te compromitteren zijn gedaan onder het mom van correcties voor tikfouten in eerdere code. Die ogenschijnlijk kleine wijziging plus het gebruik van accounts van bekende PHP-maintainers moest de kans op acceptatie in de codebasis vergroten.

De malafide wijzigingen zijn inmiddels zelf weer gewijzigd. De tijdig gedetecteerde 'typo-correcties' zouden er na acceptatie en distributie voor kunnen zorgen dat PHP-installaties op afstand zijn te hacken. De scripttaal wordt gebruikt op 79,1% van de websites op het internet, weet Bleeping Computer te melden op basis van W3Techs-metingen.

Over naar GitHub

In reactie op deze serverhack en nipt voorkomen backdoorimplantatie hevelen de PHP-maintainers nu hun ontwikkelomgeving over van de zelf gehoste Git-server naar het cloud-gehoste GitHub-platform. De git.php.net-server wordt dus geschrapt. PHP was al wel aanwezig op GitHub, maar gebruikte dat slechts als mirrors voor de officiële, eigen repository. Ontwikkelaars die bijdragen aan de ontwikkeling van PHP zelf moeten nu lid worden van de PHP-groep op GitHub.