Offizieller Git-Server des PHP-Projekts gehackt

Hacker haben offenbar versucht, eine Schadsoftware in die Codebasis der Skriptsprache PHP einzuschleusen. Unbekannten ist es demnach gelungen, den offiziellen Git-Server von PHP zu kompromittieren und unter falschen Namen Beiträge dort zu veröffentlichen. Das meldete am Wochenende der Entwickler und Verwalter des PHP-Projekts, Nikita Popov.

Eingereicht wurden die Beiträge augenscheinlich von Popov sowie Rasmus Lerdorf, Erfinder von PHP. Außerdem waren sie als Korrekturen für Tippfehler getarnt, um einer Erkennung durch Projektbeteiligte zu entgehen.

Trotzdem erregten die Beiträge das Interesse anderer Beitragender, die schädlichen Code entdeckten, der wiederum in einem HTTP-Header auf den Exploit-Ankäufer Zerodium verwies. Wie Bleeping Computer berichtet, handelte es sich um eine Backdoor, die unter Umständen das Einschleusen und Ausführen von Schadcode aus der Ferne ermöglicht hätte.

Popov zufolge ist nicht bekannt, wie der eigentliche Angriff abgelaufen ist. Er geht jedoch davon aus, dass der offizielle Server git.php.net gehackt wurde und nicht ein Nutzerkonto für den Server.

Chaouki Bekrar, CEO von Zerodium, bezeichnete den Täter indes als “Troll”. “Wahrscheinlich hat der Forscher, der diesen Bug/Exploit gefunden hat, mehrfach versucht ihn zu verkaufen, aber niemand wollte den Mist, also haben sie ihn aus Spaß verschwendet”, kommentierte Bekrar.

Nach Angaben des PHP-Projekts wurden die schädlichen Beiträge erkannt und gelöscht, bevor sie Nutzer erreicht haben. Eine Sicherheitsuntersuchung laufe noch. Zudem werde das gesamte Repository auf weitere mögliche schädliche Aktivitäten geprüft. Darüber hinaus kündigte das Team an, man werde nun zu GitHub wechseln.

“Wir haben entschieden, dass die Aufrechterhaltung unserer eigenen Git-Infrastruktur ein unnötiges Sicherheitsrisiko darstellt und dass wir den git.php.net-Server einstellen werden”, sagte Popov. Bisher habe es auf GitHub lediglich Mirrors gegeben, künftig sollten Änderungen von daher “direkt auf GitHub und nicht auf git.php.net gepusht werden”. Entwickler mit Schreibrechten für das PHP-Repository müssten sich zudem der PHP-Gruppe auf GitHub anschließen.

Der Angriff auf das PHP-Projekt muss als Attacke auf die Lieferkette eingestuft werden. Sie haben den Vorteil für Cyberkriminelle, dass sie lediglich ein Ziel kompromittieren müssen, um ihren Schadcode anschließend an eine große Zahl von Systemen verteilen zu können.

Jüngstes Beispiel für die möglichen Folgen eines Angriffs auf die Lieferkette ist der Einbruch in einen Update-Server des Softwareanbieters SolarWinds. Über dessen Netzwerksoftware Orion wurden schließlich Tausende Unternehmen und Behörden weltweit kompromittiert, darunter Microsoft und der Sicherheitsanbieter FireEye.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Intergermania Transport: KI-Lösung optimiert Rechnungsmanagement

Transportunternehmen automatisiert Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.

22 Stunden ago

Generative KI: Mangel an kompetenten Entwicklern und Know-how

Studie zeigt: Bei der Implementierung und Nutzung von generativer KI im industriellen Umfeld besteht noch…

23 Stunden ago

Schatten-KI: Generative KI sicher integrieren

Die Einführung von KI in Unternehmen läuft oft noch zögerlich. Diese Zurückhaltung öffnet ungewollt die…

4 Tagen ago

Angriffsziel ERP

Eine aktuelle Studie von Onapsis zeigt: 9 von 10 Ransomware-Angriffe betrafen ERP-Systeme.

4 Tagen ago

Intelligente DDoS-Abwehr mit KI

Angreifer nutzen zunehmend raffinierte Techniken, um ihre Angriffe zu verschleiern und adaptive Angriffsmuster einzusetzen, warnt…

6 Tagen ago

Energieverbrauch von Rechenzentren im Blick

ESRS, CSRD, EnEfG: Wer die gesetzlichen Nachhaltigkeits-Regularien erfüllen will, braucht Transparenz über den Energieverbrauch und…

7 Tagen ago