PHP s’en remet à GitHub après une attaque

Les contributions à PHP doivent désormais se faire sur les dépôts GitHub. Le projet a décidé d’abandonner son serveur Git après sa probable compromission.

L’attaque est survenue ce week-end. Elle a visé php-src, le principal dépôt du projet. On y a injecté, à deux reprises, du code malveillant au nom de contributeurs « légitimes ». Le commit était signalé comme une correction de coquille (Fix typo). Il est intervenu sur la branche de développement de PHP 8.1, attendu pour la fin de l’année.

Ce code ouvrait une porte dérobée. Il attendait un signal : la réception d’un en-tête HTTP débutant par la chaîne « zerodium ». Auquel cas il exécutait tout fichier PHP contenu dans cet en-tête.

Cheers to the troll who put « Zerodium » in today’s PHP git compromised commits. Obviously, we have nothing to do with this.

Likely, the researcher(s) who found this bug/exploit tried to sell it to many entities but none wanted to buy this crap, so they burned it for fun 😃

— Chaouki Bekrar (@cBekrar) March 29, 2021

GitHub : la caution sécurité pour PHP ?

Les superviseurs du projet PHP ont dû s’y reprendre à deux fois : quelques heures après sa suppression, le code est réapparu.

Les dépôts GitHub, qui faisaient jusqu’alors office de miroirs, deviennent le point de référence pour effectuer des changements. Pour y accéder en écriture, deux conditions : être membre de l’organisation PHP et activer l’authentification à deux facteurs.

En plus de mettre en doute la capacité du projet à gérer son infrastructure (dont karma, son système d’authentification maison), l’incident a relancé le débat sur la signature des commits.

Photo d’illustration © Zothen – Fotolia