redaccion@diariodigitalis.com

Hackers intentan introducir código malicioso en el repositorio de PHP 8.1

El domingo 28 de marzo, un grupo de hackers logró acceder al repositorio oficial de PHP en Github y añadir dos cambios de código malicioso en la versión 8.1, que será lanzada a finales de año.

Afortunadamente, este intento fue detectado y frustrado rápidamente por el equipo de PHP. De haber tenido éxito, el ataque habría ocasionado unas consecuencias graves tanto para la organización como para un gran número de páginas web. Y es que el objetivo de los piratas informáticos era agregar una puerta trasera de seguridad que afectara los servidores de todos los sitios que utilicen este lenguaje.

Actualmente, casi el 80% de las páginas web están construidas con PHP. Sin embargo, no todas lo actualizan a su última versión, por lo que, al ser un código malicioso exclusivo de PHP 8.1, estas no habrían resultado perjudicadas.

Los hackers intentaron involucrar a terceros

Lo más curioso es que los ciberatacantes intentaron usurpar las identidades de Nikita Popov y Rasmus Lerdorf, dos populares desarrolladores senior de PHP. Quizás pensando que así su plan sería infalible, los hackers publicaron los cambios a nombre de ambos bajo el pretexto de que, simplemente, se trataba de una corrección de errores tipográficos.

código malicioso php

Tal vez, creyeron que, debido al alto rango y reconocimiento de Nikita y Rasmus dentro de la organización, las medidas de revisión serían más laxas de lo normal y su código malicioso lograría evadir los controles más estrictos, sobre todo tratándose de una mera corrección tipográfica. Sin embargo, su estrategia se vio truncada cuando un miembro del equipo de desarrolladores contactó con Lerdorf para preguntarle por el propósito de “su código”.

Además, los hackers intentaron incriminar a Zerodium, una empresa estadounidense de ciberseguridad, ya que en las líneas que agregaron establecían que si una cadena (string) comenzaba por “Zerodium”, se “abriría” una puerta trasera que permitiría la ejecución de código arbitrario (RCE) dentro del encabezado HTTP useragent.

Además, añadieron un mensaje en uno de los parámetros: “REMOVETHIS: sold to zerodium, mid 2017” (vendido a zerodium, mediados de 2017). Esta frase hacía alusión a la supuesta compra de este exploit por parte de la compañía, con lo que se la pretendía culpar de alguna manera. Sin embargo, Chaouki Bekrar, CEO de Zerodium, se ha desvinculado del ataque rápidamente, ha llamado “trolls” a los responsables y ha tildado de “basura” el código, señalando que, seguramente, ninguna empresa quiso comprarlo y, por eso, lo acabaron utilizando para divertirse.

Id bootcamps Banner

PHP interrumpe su servidor y migra a GitHub

Aún se están investigando las causas y consecuencias del ataque, pero el equipo de PHP cree el servidor oficial git.php.net se ha visto comprometido. Por ese motivo, han decidido mudarse definitivamente a GitHub, deteniendo su actividad en el otro servidor.

«Hemos decidido que mantener nuestra propia infraestructura git es un riesgo de seguridad innecesario y que interrumpiremos el servidor git.php.net», dijo Popov. «En cambio, los repositorios en GitHub, que anteriormente eran solo espejos, se volverán canónicos. Esto significa que los cambios deben enviarse directamente a GitHub en lugar de a git.php.net«.

Actualmente, el equipo de PHP está revisando todos los repositorios en busca de posibles vulnerabilidades y riesgos de seguridad.

Hace tan sólo unos meses, se lanzó PHP 8 y, si todo va según lo previsto, la versión 8.1 verá la luz a finales de 2021.

Imagen de CoolVid-Shows en Pixabay

Artículos Relacionados

Suscríbete a nuestra newsletter


(Obligatorio)

También te puede gustar

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Suscríbete a nuestra newsletter