Разработчики PEAR (PHP Extension and Application Repository, репозиторий расширений и приложений PHP) сообщили о взломе своего веб-сервера. Согласно официальному заявлению, проникновение произошло около полугода назад. Злоумышленникам удалось внести изменения в файл для установки пакетного менеджера go-pear.phar.

Проект PEAR предоставляет доступ к официально утвержденной библиотеке компонентов с открытым исходным кодом и предлагает средства для их инсталляции в язык PHP. Пакеты библиотеки можно использовать бесплатно и включать в разрабатываемые приложения. Они позволяют поддерживать необычные форматы файлов, генерировать сложный HTML-код, обеспечивать соединение с базами данных, а также предлагают множество других готовых функций.

Скомпрометированы могут быть системы пользователей PHP, которые в последние шесть месяцев установили go-pear из архива phar. Так как изменения в этот файл злоумышленники внесли только на веб-сервере PEAR, то наличие вредоносного ПО на своем компьютере можно проверить самостоятельно. Для этого нужно скачать легитимную версию в официальном репозитории на GitHub и сверить хэши архивов. MD5-хэш в инфицированном варианте — 1e26d9dd3110af79a9595f1a77a82de7.

На время расследования и полной проверки содержимого сайта сервер PEAR будет отключен. Официальные представители проекта пока не сообщают подробности инцидента, однако обещают написать о деталях произошедшего в блоге после завершения разбирательства.

В июле 2018 года под удар атакующих попала компания Gentoo Linux, которая размещала на GitHub дистрибутив своей операционной системы. Некоторые библиотеки в нем оказались заменены вайпером.

Уже осенью платформа предприняла шаги по повышению уровня защиты. В частности, появился новый алгоритм поиска вшитых в программы токенов авторизации, а также была модернизирована система автоматического обнаружения уязвимостей.

Категории: Вредоносные программы