idNSA.id – Threat Actors meretas server Git resmi dari bahasa pemrograman PHP dan mendorong (push) pembaruan yang tidak sah untuk memasukkan backdoor ke dalam source code.
Pada 28 Maret, hacker pushed dua commit ke repositori "php-src" yang dihosting di server git.php.net, mereka menggunakan akun Rasmus Lerdorf, penulis PHP, dan pengembang Jetbrains Nikita Popov.
Pemelihara proyek sedang menyelidiki rantai serangan ini, para ahli yakin hacker telah menyusupi server git.php.net.
“Kami belum tahu bagaimana sebenarnya ini terjadi, tetapi semuanya mengarah pada penyusupan server git.php.net (bukan penyusupan akun git individu).” kata Popov. “Sementara penyelidikan masih berlangsung, kami telah memutuskan bahwa memelihara infrastruktur git kami sendiri merupakan risiko keamanan yang tidak perlu, dan kami akan menghentikan server git.php.net. Sebaliknya, repositori di GitHub, yang sebelumnya hanya mirror, akan menjadi kanonis. Artinya, perubahan harus di push langsung ke GitHub daripada ke git.php.net. ”
Pemelihara PHP melakukan reverted (mengembalikan) perubahan dan meninjau repositori untuk mendeteksi bukti kompromi lain di luar dua komitmen yang direferensikan, dikutip dari postingan securityaffairs.
Di masa mendatang, untuk mengakses repositori, pengguna sekarang harus menjadi bagian dari organisasi php di GitHub dan akun mereka akan mengaktifkan 2FA. Mengadopsi konfigurasi baru ini memungkinkan untuk menggabungkan permintaan pull langsung dari interface web GitHub.
Saat ini, belum jelas apakah backdoor diunduh dan didistribusikan oleh pihak lain sebelum komit berbahaya terdeteksi.
Analisis malicious code mengungkapkan keberadaan string "Zerodium", yang merupakan nama salah satu broker zero-day paling populer.
Terlepas dari referensi ke Zerodium dalam kode backdoor, tidak ada bukti yang menunjukkan bahwa malware itu dirancang untuk dijual sebagai Proof-of-Concept (PoC) kepada broker zero-day.
