PHP s’en remet à GitHub après une attaque

PHP sécurité open source

Le dépôt primaire de PHP est désormais sur GitHub. Le projet a tiré un trait sur son serveur Git après une probable compromission.

Les contributions à PHP doivent désormais se faire sur les dépôts GitHub. Le projet a décidé d’abandonner son serveur Git après sa probable compromission.

L’attaque est survenue ce week-end. Elle a visé php-src, le principal dépôt du projet. On y a injecté, à deux reprises, du code malveillant au nom de contributeurs « légitimes ». Le commit était signalé comme une correction de coquille (Fix typo). Il est intervenu sur la branche de développement de PHP 8.1, attendu pour la fin de l’année.

Ce code ouvrait une porte dérobée. Il attendait un signal : la réception d’un en-tête HTTP débutant par la chaîne « zerodium ». Auquel cas il exécutait tout fichier PHP contenu dans cet en-tête.

GitHub : la caution sécurité pour PHP ?

Les superviseurs du projet PHP ont dû s'y reprendre à deux fois : quelques heures après sa suppression, le code est réapparu.

Les dépôts GitHub, qui faisaient jusqu'alors office de miroirs, deviennent le point de référence pour effectuer des changements. Pour y accéder en écriture, deux conditions : être membre de l'organisation PHP et activer l'authentification à deux facteurs.

En plus de mettre en doute la capacité du projet à gérer son infrastructure (dont karma, son système d'authentification maison), l'incident a relancé le débat sur la signature des commits.

Docker Hub : un nid à cryptomineurs
Palo Alto Networks a repéré, sur Docker Hub, une trentaine d'images contenant des mineurs de cryptomonnaies. Émises par une dizaine de comptes, elles comptent plus de 20 millions de téléchargements. Pour l'essentiel (90,3 %), elles minent du Monero. Butin global estimé : environ 200 000 $.

Photo d'illustration © Zothen - Fotolia