{"id":17257,"date":"2021-04-06T19:41:55","date_gmt":"2021-04-06T22:41:55","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=17257"},"modified":"2021-04-06T19:45:34","modified_gmt":"2021-04-06T22:45:34","slug":"php-git-backdor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/php-git-backdor\/17257\/","title":{"rendered":"Tentativa de comprometer o c\u00f3digo-fonte da linguagem PHP"},"content":{"rendered":"

Cibercriminosos desconhecidos recentemente tentaram<\/a>\u00a0um ataque em grande escala \u00e0 cadeia de suprimentos, introduzindo c\u00f3digo malicioso no reposit\u00f3rio GIT oficial do PHP. Se os desenvolvedores n\u00e3o tivessem notado o backdoor a tempo, ele poderia ter acabado em muitos servidores da web e levado ao maior ataque \u00e0 cadeia de suprimentos<\/a> da hist\u00f3ria.<\/p>\n

O que aconteceu com o PHP?<\/h2>\n

Os programadores que desenvolvem a linguagem fazem altera\u00e7\u00f5es no c\u00f3digo usando um reposit\u00f3rio comum constru\u00eddo no sistema de controle de vers\u00e3o GIT. Depois que implementam suas adi\u00e7\u00f5es, o c\u00f3digo passa por outra revis\u00e3o. Durante uma verifica\u00e7\u00e3o de rotina, um desenvolvedor percebeu uma adi\u00e7\u00e3o suspeita que foi marcada nos coment\u00e1rios como uma corre\u00e7\u00e3o de erro de digita\u00e7\u00e3o e adicionada em nome de Nikita Popov, um desenvolvedor ativo. Um exame mais atento revelou que era uma backdoor. Popov n\u00e3o havia sido o autor de tal mudan\u00e7a.<\/p>\n

Mais verifica\u00e7\u00f5es mostraram que outra adi\u00e7\u00e3o semelhante foi enviada para o reposit\u00f3rio, desta vez atribu\u00edda a Rasmus Lerdorf. Programadores atentos a notaram dentro de horas, ent\u00e3o a pr\u00f3xima atualiza\u00e7\u00e3o do PHP 8.1 (com um lan\u00e7amento antecipado para o final do ano) n\u00e3o incluir\u00e1 a backdoor.<\/p>\n

Por que a mudan\u00e7a de c\u00f3digo foi perigosa<\/h2>\n

Um backdoor no reposit\u00f3rio pode permitir a invasores executarem remotamente c\u00f3digo malicioso em um servidor web usando a vers\u00e3o comprometida do PHP. Apesar de alguma perda de popularidade, o PHP continua a ser a linguagem de script mais amplamente usada para conte\u00fado da Web, em uso por cerca de 80% dos servidores. Embora nem todos os administradores atualizem suas ferramentas com frequ\u00eancia, um bom n\u00famero mant\u00e9m seus servidores atualizados para cumprir os regulamentos de seguran\u00e7a internos ou externos. Se o backdoor tivesse entrado na nova vers\u00e3o do PHP, provavelmente teria se espalhado pelos servidores de muitas empresas.<\/p>\n

Como os invasores introduziram a backdoor<\/h2>\n

Os especialistas est\u00e3o certos de que o ataque foi resultado de uma vulnerabilidade no servidor Git interno, n\u00e3o um problema de contas de desenvolvedor comprometidas. Na verdade, o risco de algu\u00e9m atribuir uma altera\u00e7\u00e3o a outro usu\u00e1rio \u00e9 conhecido h\u00e1 muito tempo e, ap\u00f3s esse incidente, a equipe de suporte do PHP parou de usar o servidor git.php.net e mudou-se para o reposit\u00f3rio de servi\u00e7o GitHub<\/a> (anteriormente apenas um espelho).<\/p>\n

Como se manter seguro<\/h2>\n

Os ambientes de desenvolvimento s\u00e3o alvos atraentes para os cibercriminosos. Depois de comprometer o c\u00f3digo de um produto de software no qual os clientes confiam, podem atingir v\u00e1rios alvos de uma vez por meio de um ataque \u00e0 cadeia de suprimentos. Milh\u00f5es de usu\u00e1rios em todo o mundo usam os projetos mais populares, portanto, proteg\u00ea-los de amea\u00e7as externas \u00e9 especialmente importante.<\/p>\n