Registrata nel weekend la compromissione del server Git di PHP con l’obiettivo di inserire componenti maligne nel codice del linguaggio, alla base del 79% circa di tutti i siti online a livello globale. Il fine ultimo dei malintenzionati era quello di arrivare potenzialmente ad assumere il controllo remoto di qualsiasi server Web facendo leva sulle richieste HTTP.
Il server Git di PHP compromesso da un attacco
Stando a quanto si legge nel comunicato ufficiale, l’attacco è avvenuto in data domenica 28 marzo, ad opera di responsabili non meglio identificati riusciti a spacciarsi per gli amministratori del progetto, Rasmus Lerdorf e Nikita Popov. Ancora non è chiaro se siano stati bucati i singoli account oppure il server git.php.net. La strategia adottata si è rivelata piuttosto subdola: nascondere la vera natura delle modifiche apportate al repository facendole passare per “fix typo” ovvero interventi necessari alla correzione di errori di poco conto.
Non è però trascorso molto prima che qualcuno si accorgesse dell’anomalia. Secondo la redazione del sito BleepingComputer il codice era stato approntato in modo da inserire una backdoor e poter così procedere all’esecuzione di codice da remoto, aggiungendo il parametro “zerodium” all’intestazione HTTP. Curiosamente il nome è lo stesso di una società statunitense specializzata in cybersecurity che non ha alcun legame con quanto avvenuto.
L’intervento tempestivo sembra aver scongiurato qualsiasi danno. Ad ogni modo, i gestori del progetto hanno deciso di trasferire tutto su GitHub al fine di garantire un livello di sicurezza maggiore.