PHP 項(xiàng)目周一宣布它已被黑客入侵。 PHP的主Git服務(wù)器被非法訪問，攻擊者上傳了兩個(gè)惡意提交，包括一個(gè)后門小程序開發(fā)，在投入生產(chǎn)之前就被發(fā)現(xiàn)了。

PHP是最流行的Web開發(fā)開源腳本語言之一，代碼可以嵌入HTML。惡意提交被推送到 php-src 存儲庫，從而使攻擊者有機(jī)會進(jìn)行供應(yīng)鏈攻擊以感染不知情的網(wǎng)站。

兩個(gè)提交都聲稱在源代碼中有“固定的拼寫錯(cuò)誤”。根據(jù)周日發(fā)送到該項(xiàng)目郵件列表的消息，攻擊者使用 PHP 維護(hù)者的名稱上傳文件和 .認(rèn)為這不僅僅是憑據(jù)盜竊。

為了應(yīng)對這次黑客攻擊php代碼注入漏洞，PHP 已將其服務(wù)器移至 .

他還指出，PHP 正在檢查其所有存儲庫中是否存在其他惡意提交。

武器化軟件供應(yīng)鏈

利用開源代碼存儲庫作為攻擊網(wǎng)站和應(yīng)用程序的手段并不罕見。

例如，研究人員在 3 月份在 npm 公共代碼存儲庫中發(fā)現(xiàn)了針對 、Lyft 和（和其他）內(nèi)部應(yīng)用程序的惡意程序包，所有這些程序都泄露了敏感信息。這些軟件包利用了概念驗(yàn)證 (PoC) 代碼依賴混淆漏洞，該漏洞最近由安全研究員 Alex 設(shè)計(jì)，用于將惡意代碼注入開發(fā)人員項(xiàng)目。

與此同時(shí)，1 月份php代碼注入漏洞，三個(gè)惡意軟件包通過偽裝成合法代碼發(fā)布到 npm。研究人員表示，任何被代碼破壞的應(yīng)用都可能竊取用戶的令牌和其他信息。

去年 12 月，在（Ruby Web 編程語言的開源包存儲庫和管理器）中發(fā)現(xiàn)了兩個(gè)帶有惡意軟件的軟件包網(wǎng)站制作，其中兩個(gè)包被下線。