Des pirates ont fait irruption dans le référentiel de code interne du langage de programmation PHP et ont tenté de backdoor le code source dans une tentative effrontée de pirater Internet. chaîne d’approvisionnement

PHP est utilisé pour programmer les serveurs derrière près de 80% websites on the Internet, ce qui signifie que cette attaque, si elle n’avait pas été détectée, aurait pu donner aux pirates la possibilité de prendre le contrôle de milliers de sites

L’un des principaux développeurs PHP a révélé la brèche sur la liste de diffusion officielle du langage de programmation dimanche soir, et la nouvelle a été rapportée pour la première fois par Bleeping Computer

Les pirates ont téléchargé deux morceaux de code malveillant dans le cadre d’un commit dans la base de code PHP en utilisant les noms de deux développeurs PHP principaux, Rasmus Lerdorf et Nikita Popov, le développeur qui a révélé la faille.

“We don't know exactly how it went yet, but everything indicates a compromise of the net gitphpserver (rather than the compromise of an individual git account) “, a écrit Popov

Popov a également annoncé que le projet PHP serait désormais déplacé vers Github plutôt que d’utiliser son propre référentiel de code interne

Nous avons décidé que la maintenance de notre propre infrastructure git était un risque de sécurité inutile”, a-t-il ajouté dans l’annonce de la faille

Avez-vous des informations sur cette violation de données ou d’autres violations de données? Nous aimerions recevoir de vos nouvelles Vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au 1 917 257 1382, chat OTR à lorenzofb @ jabbercccde, ou envoyez un e-mail à lorenzofb @ vicecom

Comme l’a souligné l’expert en cybersécurité Martijn Grooten sur Twitter, il s’agit peut-être de l’un des principaux éléments à retenir de cette attaque infructueuse de la chaîne d’approvisionnement.

Le code malveillant mentionnait Zerodium, un courtier notoire de zero-days On ne sait pas pourquoi les pirates ont inclus le nom de l’entreprise dans le code malveillant, mais selon le fondateur et PDG de Zerodium, ce n’était qu’une blague

Bravo au troll qui a mis ‘Zerodiumdans les commits compromis PHP git d’aujourd’hui Évidemment, nous n’avons rien à voir avec ça », a écrit Chaouki Bekrar sur Twitter “Probably, the (s) chercheur (s) qui a trouvé ce bug / exploit a essayé de le vendre à de nombreuses entités mais aucun ne voulait acheter cette merde, alors ils l’ont brûlé pour le plaisir.

Popov a écrit que l’enquête sur cette violationest toujours en courset que les développeurs vérifient que les pirates n’ont pas apporté d’autres modifications malveillantes

Motherboard a contacté Popov pour lui demander un commentaire, et nous mettrons à jour cette histoire quand il nous reviendra

En vous inscrivant à la newsletter VICE, vous acceptez de recevoir des communications électroniques de VICE qui peuvent parfois inclure des publicités ou du contenu sponsorisé

PHP, Git, Backdoor, Code source, IT security, Commit

News – GB – Des pirates ont essayé de code de porte dérobée utilisé par 80% from all websites

Source: https://www.vice.com/en/article/xgzne4/hackers-backdoor-php-source-code

Building on its expertise in the areas of digital, technologies and processes , CSS Engineering you in your most ambitious transformation projects and helps you bring out new ideas, new offers, new modes of collaboration, new ways of producing and selling.

CSS Engineering is involved in projects each customer as if it were his own. We believe a consulting company should be more than an advisor. We put ourselves in the place of our customers, to align we incentives to their goals, and collaborate to unlock the full potential their business. This establishes deep relationships and enjoyable.

Our services:

  1. Create professional websites
  2. Hosting high performance and unlimited
  3. Sale and video surveillance cameras installation
  4. Sale and Installation of security system and alarm
  5. E-Marketing

All our achievements here https://www.css-engineering.com/en/works/