Come comunicato nelle scorse ore da Nikita Popov, software developer di JetBrains per il quale lavora presso il team di PhpStorm, domenica 28 marzo sono stati effettuati i push di 2 commit malevoli a danno del repository php-src dove viene implementato il codice sorgente del linguaggio. Tali operazioni sarebbero state effettuate a nome dello stesso Popov e di Rasmus Lerdorf. informatico danese noto per essere il creatore di PHP.
La dinamica dell'attacco
Per ammissione dell'autore, attualmente le dinamiche dell'accaduto non sarebbero ancora note ma apparirebbe chiaro l'intento di compromettere il server git.php.net, meno probabile l'ipotesi che si volesse violare semplicemente gli account git coinvolti. La notizia è particolarmente preoccupante considerando che PHP è utilizzato in circa il 79% dei siti Web attualmente online.
Nello specifico gli interventi non autorizzati sul codice avrebbero riguardato il file zlib.c
presente sul percorso ext/zlib/
. In esso la riga aggiunta tramite un aggiornamento sarebbe stata la 370 dove viene effettuata una chiamata alla funzione zend_eval_string function
.
Scopo dell'attacco sarebbe stata la volontà di attivare una backdoor con cui effettuare facilmente una RCE (Remote Code Execution) a carico di un sito Web animato dalla versione di PHP violata.
La migrazione da git a GitHub
Le indagini interne per comprendere i dettagli della vicenda sarebbero ancora in corso, nel contempo i responsabili del progetto sono giunti alla conclusione che mantenere l'infrastruttura git colpita rappresenterebbe un rischio evitabile e il server git.php.net non verrà più utilizzato. Verranno impiegati al suo posto i repository presenti su GitHub che fino ad ora erano stato adottati soltanto come mirror.
Stando così le cose da questo momento in poi tali repository dovranno essere considerati canonici e tutti i push relativi alle modifiche dovranno essere effettuati direttamente su GitHub e non su git.php.net. Nello stesso modo il merge delle pull request potrà essere eseguito direttamente dall'interfaccia Web based della nota piattaforma per il code hosting.
A questo punto il PHP security team dovrà verificare che quanto avvenuto non sia stato preceduto da episodi simili e non ancora rilevati. A limitare il danno vi sarebbe stato comunque il fatto che i commit riguardavano il ramo di sviluppo di PHP 8.1 che è una versione attesa per la fine del 2021. Per il momento sembrerebbe ormai sicuro che il server su git verrà definitivamente abbandonato in favore di un passaggio in pianta stabile su GitHub.