Offizieller Git-Server des PHP-Projekts gehackt

Stefan Beiersmann,
Hacker (Bild: Shutterstock)

Unbekannte schleusen im Namen von zwei Projektmitgliedern Schadcode ein. Sie tarnen ihre Beiträge als Korrekturen für Tippfehler. Stattdessen handelt es sich jedoch um eine Backdoor.

Hacker haben offenbar versucht, eine Schadsoftware in die Codebasis der Skriptsprache PHP einzuschleusen. Unbekannten ist es demnach gelungen, den offiziellen Git-Server von PHP zu kompromittieren und unter falschen Namen Beiträge dort zu veröffentlichen. Das meldete am Wochenende der Entwickler und Verwalter des PHP-Projekts, Nikita Popov.

Eingereicht wurden die Beiträge augenscheinlich von Popov sowie Rasmus Lerdorf, Erfinder von PHP. Außerdem waren sie als Korrekturen für Tippfehler getarnt, um einer Erkennung durch Projektbeteiligte zu entgehen.

Trotzdem erregten die Beiträge das Interesse anderer Beitragender, die schädlichen Code entdeckten, der wiederum in einem HTTP-Header auf den Exploit-Ankäufer Zerodium verwies. Wie Bleeping Computer berichtet, handelte es sich um eine Backdoor, die unter Umständen das Einschleusen und Ausführen von Schadcode aus der Ferne ermöglicht hätte.

Popov zufolge ist nicht bekannt, wie der eigentliche Angriff abgelaufen ist. Er geht jedoch davon aus, dass der offizielle Server git.php.net gehackt wurde und nicht ein Nutzerkonto für den Server.

Chaouki Bekrar, CEO von Zerodium, bezeichnete den Täter indes als “Troll”. “Wahrscheinlich hat der Forscher, der diesen Bug/Exploit gefunden hat, mehrfach versucht ihn zu verkaufen, aber niemand wollte den Mist, also haben sie ihn aus Spaß verschwendet”, kommentierte Bekrar.

Nach Angaben des PHP-Projekts wurden die schädlichen Beiträge erkannt und gelöscht, bevor sie Nutzer erreicht haben. Eine Sicherheitsuntersuchung laufe noch. Zudem werde das gesamte Repository auf weitere mögliche schädliche Aktivitäten geprüft. Darüber hinaus kündigte das Team an, man werde nun zu GitHub wechseln.

“Wir haben entschieden, dass die Aufrechterhaltung unserer eigenen Git-Infrastruktur ein unnötiges Sicherheitsrisiko darstellt und dass wir den git.php.net-Server einstellen werden”, sagte Popov. Bisher habe es auf GitHub lediglich Mirrors gegeben, künftig sollten Änderungen von daher “direkt auf GitHub und nicht auf git.php.net gepusht werden”. Entwickler mit Schreibrechten für das PHP-Repository müssten sich zudem der PHP-Gruppe auf GitHub anschließen.

Der Angriff auf das PHP-Projekt muss als Attacke auf die Lieferkette eingestuft werden. Sie haben den Vorteil für Cyberkriminelle, dass sie lediglich ein Ziel kompromittieren müssen, um ihren Schadcode anschließend an eine große Zahl von Systemen verteilen zu können.

Jüngstes Beispiel für die möglichen Folgen eines Angriffs auf die Lieferkette ist der Einbruch in einen Update-Server des Softwareanbieters SolarWinds. Über dessen Netzwerksoftware Orion wurden schließlich Tausende Unternehmen und Behörden weltweit kompromittiert, darunter Microsoft und der Sicherheitsanbieter FireEye.