物理科技生物学-PHYICA

安全研究人员柳あきら宣布PHP后门

技术工程 2021-10-17 21:54:43

Security researchers announce PHP backdoor恶意零媒介提交。信用:GitHub 2021年3月28日星期六,安全研究人员尼基塔·波波夫和拉斯马斯·勒德尔夫宣布发现了安装在php-src存储库中的两个恶意后门。研究人员怀疑这一事故与受损的git.php.net服务器有关,而不是个人git账户受损。与此同时,尽管研究团队努力弄清问题的真相,但他们认为继续使用自己的git基础设施是一种不必要的风险,因此将停止使用git.php.net服务器。现在,GitHub上的相关存储库将从镜像变成真正的规范转发。因此,任何更改都应该直接推送到GitHub,而不是通过git.php.net。

为了强化安全状态,存储库用户现在只能通过GitHub上的PHP组织进行写访问,而不是repo的原生karma系统。由于组织成员hip要求使用双因素身份验证,希望加入回购的用户应直接联系Nikita,告知其GitHub帐户和php.net帐户名以及他们需要访问的权限。

最后,这一改变使得直接从GitHub web界面合并拉取请求变得不可能。

在技术方面,到目前为止,攻击者似乎是通过知道秘密密码“零媒介”获得了代码执行能力。黑客利用伪装成属于研究员勒多夫的账号作为实施这一恶意活动的手段。随后的恶意更改是通过波波夫的帐户名进行的。

Zerodium实际上是一家公司的名称,该公司从研究人员那里购买漏洞,并将其出售给政府机构,用于网络安全调查。然而,尽管用于启动这些代码更改的两个恶意提交都引用了Zerodium,但首席执行官Chaouki Bekrar坚称该组织没有参与。事实上,Bekrar甚至提出,研究人员自己也想在出售后门失败后销毁犯罪证据。

这一事件可以追溯到2019年初的一个类似事件,在发现黑客用恶意包替换了主包管理器后,流行的PHP扩展和应用程序存储库暂时关闭了平台的大部分。像最近的事件一样,在过去六个月内注册的受影响存储库的用户可能会被感染。

到目前为止,估计80%在PHP上运行的网站似乎没有在它们的生产环境中运行这种邪恶的行为。

来源:由phyica.com整理转载自PH,转载请保留出处和链接!

本文链接:http://www.phyica.com/jishugongcheng/2204.html

发表评论

用户头像 游客
此处应有掌声~

评论列表

还没有评论,快来说点什么吧~