Des pirates ont fait irruption dans le référentiel de code interne du langage de programmation PHP et ont tenté de backdoor le code source dans une tentative effrontée de pirater Internet. chaîne d’approvisionnement

PHP est utilisé pour programmer les serveurs derrière près de 80% des sites Web sur Internet, ce qui signifie que cette attaque, si elle n’avait pas été détectée, aurait pu donner aux pirates la possibilité de prendre le contrôle de milliers de sites

L’un des principaux développeurs PHP a révélé la brèche sur la liste de diffusion officielle du langage de programmation dimanche soir, et la nouvelle a été rapportée pour la première fois par Bleeping Computer

Les pirates ont téléchargé deux morceaux de code malveillant dans le cadre d’un commit dans la base de code PHP en utilisant les noms de deux développeurs PHP principaux, Rasmus Lerdorf et Nikita Popov, le développeur qui a révélé la faille.

“Nous ne savons pas encore exactement comment cela s’est passé, mais tout indique un compromis du gitphpserveur net (plutôt que le compromis d’un compte git individuel) “, a écrit Popov

Popov a également annoncé que le projet PHP serait désormais déplacé vers Github plutôt que d’utiliser son propre référentiel de code interne

“Nous avons décidé que la maintenance de notre propre infrastructure git était un risque de sécurité inutile”, a-t-il ajouté dans l’annonce de la faille

Avez-vous des informations sur cette violation de données ou d’autres violations de données? Nous aimerions recevoir de vos nouvelles Vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au 1 917 257 1382, chat OTR à lorenzofb @ jabbercccde, ou envoyez un e-mail à lorenzofb @ vicecom

Comme l’a souligné l’expert en cybersécurité Martijn Grooten sur Twitter, il s’agit peut-être de l’un des principaux éléments à retenir de cette attaque infructueuse de la chaîne d’approvisionnement.

Le code malveillant mentionnait Zerodium, un courtier notoire de zero-days On ne sait pas pourquoi les pirates ont inclus le nom de l’entreprise dans le code malveillant, mais selon le fondateur et PDG de Zerodium, ce n’était qu’une blague

“Bravo au troll qui a mis ‘Zerodium’ dans les commits compromis PHP git d’aujourd’hui Évidemment, nous n’avons rien à voir avec ça », a écrit Chaouki Bekrar sur Twitter “Probablement, le (s) chercheur (s) qui a trouvé ce bug / exploit a essayé de le vendre à de nombreuses entités mais aucun ne voulait acheter cette merde, alors ils l’ont brûlé pour le plaisir.”

Popov a écrit que l’enquête sur cette violation “est toujours en cours” et que les développeurs vérifient que les pirates n’ont pas apporté d’autres modifications malveillantes

Motherboard a contacté Popov pour lui demander un commentaire, et nous mettrons à jour cette histoire quand il nous reviendra

En vous inscrivant à la newsletter VICE, vous acceptez de recevoir des communications électroniques de VICE qui peuvent parfois inclure des publicités ou du contenu sponsorisé

PHP, Git, Backdoor, Code source, Sécurité informatique, Commit

Actualités – GB – Des pirates ont essayé de code de porte dérobée utilisé par 80% de tous les sites Web

Source: https://www.vice.com/en/article/xgzne4/hackers-backdoor-php-source-code

En s’appuyant sur ses expertises dans les domaines du digital, des technologies et des process , CSS Engineering vous accompagne dans vos chantiers de transformation les plus ambitieux et vous aide à faire émerger de nouvelles idées, de nouvelles offres, de nouveaux modes de collaboration, de nouvelles manières de produire et de vendre.

CSS Engineering s’implique dans les projets de chaque client comme si c’était les siens. Nous croyons qu’une société de conseil devrait être plus que d’un conseiller. Nous nous mettons à la place de nos clients, pour aligner nos incitations à leurs objectifs, et collaborer pour débloquer le plein potentiel de leur entreprise. Cela établit des relations profondes et agréables.

Nos services:

  1. Création des sites web professionnels
  2. Hébergement web haute performance et illimité
  3. Vente et installation des caméras de vidéo surveillance
  4. Vente et installation des système de sécurité et d’alarme
  5. E-Marketing

Toutes nos réalisations ici https://www.css-engineering.com/en/works/