php代码注入漏洞PHP主Git软件供应链利用开放源代码存储库作为攻击网站360 php防注入代码
2022-04-26
PHP 项目周一宣布它已被黑客入侵。 PHP的主Git服务器被非法访问,攻击者上传了两个恶意提交,包括一个后门小程序开发,在投入生产之前就被发现了。
PHP是最流行的Web开发开源脚本语言之一,代码可以嵌入HTML。恶意提交被推送到 php-src 存储库,从而使攻击者有机会进行供应链攻击以感染不知情的网站。
两个提交都声称在源代码中有“固定的拼写错误”。根据周日发送到该项目邮件列表的消息,攻击者使用 PHP 维护者的名称上传文件和 .认为这不仅仅是凭据盗窃。
为了应对这次黑客攻击php代码注入漏洞,PHP 已将其服务器移至 .
他还指出,PHP 正在检查其所有存储库中是否存在其他恶意提交。
武器化软件供应链
利用开源代码存储库作为攻击网站和应用程序的手段并不罕见。
例如,研究人员在 3 月份在 npm 公共代码存储库中发现了针对 、Lyft 和(和其他)内部应用程序的恶意程序包,所有这些程序都泄露了敏感信息。这些软件包利用了概念验证 (PoC) 代码依赖混淆漏洞,该漏洞最近由安全研究员 Alex 设计,用于将恶意代码注入开发人员项目。
与此同时,1 月份php代码注入漏洞,三个恶意软件包通过伪装成合法代码发布到 npm。研究人员表示,任何被代码破坏的应用都可能窃取用户的令牌和其他信息。
去年 12 月,在(Ruby Web 编程语言的开源包存储库和管理器)中发现了两个带有恶意软件的软件包网站制作,其中两个包被下线。
