Перейти к содержанию

Бэкдор в языке PHP – попытка атаки через цепочку поставок

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Неизвестные злоумышленники попытались провернуть масштабную атаку через цепочку поставок, загрузив вредоносный код в официальный GIT-репозиторий PHP. Если бы разработчики PHP не заметили бэкдор, то он мог бы оказаться на множестве веб-серверов по всему миру — и это стало бы крупнейшей в истории атакой на цепочку поставок.

Что случилось с PHP?

Программисты, работающие над развитием языка PHP, добавляют изменения в коде в общий репозиторий, построенный на базе системы контроля версий GIT. После внесения дополнений код проходит дополнительное ревью. При очередной рутинной проверке проводивший ее разработчик заметил подозрительное дополнение — оно было помечено в комментариях как исправление опечатки и добавлено от имени Никиты Попова, одного из активных участников развития PHP. При ближайшем рассмотрении оказалось, что это бэкдор, а Никита, разумеется, ничего подобного не добавлял.

После дополнительной проверки выяснилось, что аналогичное дополнение было загружено в репозиторий еще один раз, на этот раз от имени одного из создателей PHP, Расмуса Лердорфа (Rasmus Lerdorf). Благодаря бдительности программистов изменение было замечено не позже чем через пару часов после того, как оно было добавлено, так что грядущее обновление PHP 8.1 (которое должно быть готово к концу года) выйдет все-таки без бэкдора.

Что за бэкдор в коде PHP и чем он был опасен

Добавленный в репозиторий бэкдор мог позволить злоумышленникам удаленно запустить вредоносный код на веб-сервере, использующем данную версию PHP. Хотя  PHP понемногу теряет популярность, этот скриптовый язык все еще является самым распространенным инструментом для создания веб-сайтов и используется примерно на 80% веб-серверов. И пускай не все администраторы обновляют свои инструменты, изрядная часть серверов все равно поддерживается в актуальном состоянии — в соответствии с требованиями регуляторов или внутренних регламентов безопасности. Так что если бы бэкдор попал в новую версию PHP, то он с высокой долей вероятности разошелся бы по веб-серверам многих компаний.

Как злоумышленникам удалось внедрить бэкдор в код PHP

Расследование продолжается, но пока эксперты уверены, что это произошло не в результате компрометации учетных записей разработчиков, а скорее из-за наличия какой-то уязвимости в самом внутреннем Git-сервере. О том, что при должном умении на нем можно приписать произвольному изменению авторство другого пользователя, известно давно. После этого инцидента команда, занимающаяся поддержкой PHP, пришла к решению прекратить использование собственного сервера git.php.net и переехать в репозиторий в сервисе GitHub (он использовался и до этого, но только в качестве зеркала).

Как оставаться в безопасности

Как мы уже писали, среда разработки — лакомая цель для злоумышленников. Ведь скомпрометировав код программного продукта, которому доверяют клиенты, они могут разом добраться до множества целей в ходе сложной атаки через цепочку поставок. Особенно важно защищать от постороннего вмешательства код таких популярных проектов, как PHP, которые используют миллионы пользователей по всему миру.

  • Как показывает пример команды поддержки PHP, крайне важно регулярно перепроверять все изменения, вносимые в код, даже если они вносятся именитыми и заслуживающими доверия программистами.
  • Крайне важно следить за безопасностью серверов и сервисов, используемых в разработке.
  • Все участники процесса должны понимать типичные цели и тактики злоумышленников, чтобы вовремя заметить попытку компрометации проекта. Обучать сотрудников навыкам выявления современных киберугроз можно при помощи специализированных онлайновых платформ.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Бэкдор в задании для разработчиков на GitHub | Блог Касперского
      От KL FC Bot
      Как правило, разработчики ПО являются как минимум продвинутыми пользователями компьютеров. Поэтому может сложиться впечатление, что они с большей вероятностью смогут выявить и отразить атаку злоумышленников. Но, как показывает практика, от социальной инженерии не защищен никто — надо лишь найти к человеку правильный подход. В случае IT-специалистов таким подходом часто может стать предложение хорошо оплачиваемой работы в престижной компании. В погоне за вакансией мечты даже опытные айтишники иногда теряют осторожность и начинают вести себя ничем не лучше школьников, скачивающих пиратские игры из Интернета. А реальной целью (а точнее жертвой) атаки может стать его текущий работодатель.
      Недавно стало известно о новой схеме, которую хакеры используют для заражения компьютеров интересующих их разработчиков: под видом тестового задания они подсовывают соискателям скрипт с бэкдором. И это не изолированный случай, а лишь самая свежая итерация хорошо отлаженного процесса. Хакеры уже несколько лет активно используют фейковые вакансии для охоты на IT-специалистов — и в ряде случаев добиваются поистине оглушительного успеха.
      Казалось бы, это должно быть личной проблемой айтишника. Но в современных условиях велика вероятность, что и основную работу, и тестовое задание на новую вакансию специалист будет делать на одной и той же машине. То есть под угрозой может оказаться не только личная, но и корпоративная информация.
      Фейковая вакансия, криптоигра и ограбление на $540 миллионов
      Один из самых громких случаев успешного применения тактики фейковой вакансии произошел в 2022 году. Тогда злоумышленникам удалось связаться (вероятно, через LinkedIn) с одним из старших инженеров компании Sky Mavis, которая разрабатывает криптоигру Axie Infinity, и предложить ему высокооплачиваемую работу.
      Получив заманчивое предложение, сотрудник прилежно прошел несколько инсценированных взломщиками этапов отбора. В итоге все, естественно, закончилось получением оффера, который был отправлен жертве в виде PDF-файла.
       
      View the full article
    • Даниил342432
      Здравствуйте, у меня при попытки установки удаленного доступа на компьютер попал вирус, предположительно neshta и зашифровал все файлы в формат KASPER.
      От Даниил342432
      FRST.txtAddition.txt После подключения к компьютеру по RDP на компьютер попал вирус под названием NESHTA. И зашифровал почти все файлы в тип файла KASPER. Попытались удалить при помощи программы(avg_remover_neshta), но ничего не получилось.
      Дальше воспользовавшись этой ссылкой(https://forum.kasperskyclub.ru/topic/65731-pravila-oformlenija-zaprosa-o-pomoshhi/) решили написать вам.
      Virus.rar
    • KL FC Bot
      Как киберпреступники атакуют юных геймеров? Самые распространенные и опасные схемы | Блог Касперского
      От KL FC Bot
      Начался новый учебный год, а значит, у школьников впереди новые знания, новые друзья и новые игры. Обычно после каникул дети глубже погружаются в кибермир — осенью уже не проведешь столько времени на улице вместе с друзьями и школьники объединяются в цифровом пространстве за любимыми играми.
      Но мир гейминга не такое дружелюбное пространство, каким хочет казаться на первый взгляд, и без киберзащиты в нем не обойтись. Нет, с самими играми все в порядке, но вокруг них почти всегда надоедливо крутятся мошенники, злоумышленники и киберпреступники.
      Эксперты «Лаборатории Касперского» провели исследование и выяснили, с какими играми сопряжено больше всего опасностей, каких игроков атакуют чаще и что с этим делать. В полной версии отчета (доступна на английском языке) вы можете найти ответы на эти и другие связанные вопросы.
      Minecraft — любимая игра киберпреступников
      Чтобы получить представление о текущем ландшафте игровых рисков для юных игроков, наши эксперты проанализировали статистику глобальной сети обмена сведениями об угрозах — Kaspersky Security Network (KSN). Там собраны анонимные данные о киберугрозах, которые мы получаем в деперсонализированном виде от наших клиентов на добровольной основе.
      Для исследования мы отобрали самые популярные детские игры и выяснили, что Minecraft, Roblox, Among Us и Brawl Stars — неизменная четверка лидеров по количеству атак с июля 2023 года до июля 2024-го.
      Название игры Количество попыток атак Minecraft 3 094 057 Roblox 1 649 745 Among Us 945 571 Brawl Stars 309 554 Five Nights at Freddy’s 219 033 Fortnite 165 859 Angry Birds 66 754 The Legend of Zelda 33 774 Toca Life World 28 360 Valorant 28 119 Mario Kart 14 682 Subway Surfers 14 254 Overwatch 2 9076 Animal Crossing 8262 Apex Legends 8133  
      View the full article
    • Ak.512
      Атака шифровальщиком .FAUST на инфраструктуру компании.
      От Ak.512
      Здравствуйте!

      Большая часть инфраструктуры была атакована шифровальщиком-вымогателем, прикладываем файлы диагностики по инструкции.Addition.txtОбразцы.rarinfo.txtFRST.txt
      Предварительно атака началась в 23:00 14.07.2024, однако примерное направление пока не выяснили.

       
    • KL FC Bot
      Почтовые атаки на гостиничный бизнес | Блог Касперского
      От KL FC Bot
      С лета прошлого года владельцам и сотрудникам отелей начали приходить вредоносные письма, имитирующие вполне обыденную корреспонденцию от бывших или потенциальных постояльцев. В одних случаях они выглядят как ординарные послания, отправленные на публичные адреса отелей, в других — как настоятельная просьба Booking.com ответить на оставленные без внимания комментарии пользователей, якобы полученные платформой. По факту злоумышленники пытаются либо выманить у сотрудников учетные данные, либо заразить компьютеры отеля зловредами.
      Уловка злоумышленников
      Как правило, при атаках на организации злоумышленникам приходится изобретать правдоподобный повод для письма. В случае с отелями придумать такой повод не очень сложно: по большому счету отвечать на внезапные запросы клиентов — часть служебных обязанностей работников гостиничного бизнеса, имеющих публично доступные адреса электронной почты. Для отеля главное — репутация, так что сотрудники стараются как можно быстрее решить конфликтную ситуацию или удовлетворить запрос клиента. Поэтому они с готовностью переходят по содержащимся в письмах ссылкам или открывают приложенные файлы, попадаясь таким образом на уловку злоумышленников. Иными словами, данную угрозу можно считать атакой на клиентоориентированность.
      Дополнительная сложность выявления угрозы состоит в том, что атакующим не нужно заводить какой-то особый адрес, убедительный для деловой переписки. Сотрудники гостиниц привыкли ежедневно получать обращения или жалобы от гостей, отправленные через бесплатные сервисы электронной почты. Поэтому их используют и злоумышленники (часто это адрес, зарегистрированный в Gmail, бесплатной почтовой службе Google).
       
      Посмотреть статью полностью
×
×
  • Создать...