Des hackers s'introduisent sur le Git officiel de PHP pour ajouter une backdoor au langage
Bien essayé : un ou plusieurs hackers sont parvenus à intégrer le serveur Git officiel depuis lequel sont construites et distribuées les nouvelles versions de PHP pour tenter d'ajouter une backdoor au langage.
Deux commits malicieux ont ainsi été repérés dimanche dernier par les membres de la communauté participant aux évolutions et améliorations du langage sur le serveur git.php.net.
Ceux-ci ont été poussés vers le répertoire principal (branche master) php-src maintenu par l'équipe depuis le serveur git.php.net, et sur lequel se trouvent les développements de la version 8.1 du langage, dont la sortie est prévue pour la fin de l'année.
Les personnes derrière l'attaque ne manquent pas de culot, puisqu'elles se sont fait passer pour Rasmus Lerdorf, le co-fondateur du langage (rien que ça !), et Nikita Popov (un grand contributeur de PHP), en ajoutant le commentaire nonchalant "fix typo" dans l'espoir de passer inaperçues.
Dans leur tentative de compromettre le langage, les auteurs avaient ajouté à deux endroits dans les sources une faille qui aurait permis à n'importe quel visiteur d'un site d'exécuter le code de son choix via une injection permise si le mot "zerodium" initiait la chaîne de caractères du HTTP header du user agent.
Cette backdoor aurait rendu un nombre colossal de sites web vulnérables à une prise de contrôle totale de la part de personnes mal intentionnées. Rappelons que PHP est à ce jour utilisé par près de 80% des sites web dans le monde (WordPress, qui est le CMS le plus utilisé s'appuie notamment dessus).
Zerodium est une société de sécurité informatique spécialisée dans l'achat de failles zero-day auprès de chercheurs en sécurité et en relation avec des organismes gouvernementaux pour que ceux-ci mettent en place les mesures protectives adéquates. La société a rapidement communiqué afin d'assurer qu'elle n'était en aucun cas liée à cette intervention, supposant que les hackers cherchaient surtout à attirer l'attention avec leur manoeuvre.
À la suite de cette intrusion sur leur infrastructure standalone de Git, l'équipe derrière PHP a pris la décision de migrer l'ensemble du projet sur GitHub. Les personnes souhaitant contribuer au projet PHP doivent désormais faire partie de l'organisation PHP sur GitHub, qui requiert une double authentification pour plus de sécurité.
À propos de l'auteur
Nicolas Lecointre
Chief Happiness Officer des développeurs, ceinture noire de sudo. Pour rire, j'ai créé Les Joies du Code. J'utilise Vim depuis 10 ans parce que je sais pas comment le quitter.
Articles similaires
OpenSSL 4.0 : la bibliothèque qui sécurise Internet fait peau neuve
Attention : des hackers publient de fausses alertes de sécurité sur GitHub pour vous piéger
Claude Mythos : le modèle IA d'Anthropic trop dangereux pour être rendu public
Claude Code : la fuite de code source piégée pour distribuer un infostealer
OpenSSL 4.0 : la bibliothèque qui sécurise Internet fait peau neuve
Attention : des hackers publient de fausses alertes de sécurité sur GitHub pour vous piéger
Claude Mythos : le modèle IA d'Anthropic trop dangereux pour être rendu public
Claude Code : la fuite de code source piégée pour distribuer un infostealer
Plus de contenu
Quand je clique sur le bouton "débuguer" au lieu de "compiler"
Quand j'ajoute un console.log et que le bug disparaît
Quand on me demande comment se passe mon projet
Quand je corrige un bug et que j’en introduis deux autres
Quand je lance une request et que j'obtiens un timeout
Une grande habituée, n'est-ce pas ?
Quand je tombe dans une boucle infinie
Quand j'ai enfin un BUILD SUCCESS
Quand je clique sur le bouton "débuguer" au lieu de "compiler"
Quand j'ajoute un console.log et que le bug disparaît
Quand on me demande comment se passe mon projet
Quand je corrige un bug et que j’en introduis deux autres
Quand je lance une request et que j'obtiens un timeout