Skip to main content

Atacan repositorio oficial de PHP, el principal lenguaje web

En un intento por comprometer el código de PHP, un grupo de atacantes vulneró el repositorio oficial Git del lenguaje de programación más usado en internet.

Los ataques maliciosos afectaron al repositorio Git php-src, que es mantenido por el equipo de PHP en el servidor git.php.net.

Los atacantes publicaron un cambio para “corregir un error tipográfico”, aunque el objetivo era abrir una puerta trasera para la ejecución remota de código (RCE) en un sitio que utilizara la versión adulterada de PHP.

Los atacantes firmaron los cambios como Rasmus Lerdorf y Nikita Popovm, los principales desarrolladores y mantenedores de PHP.

“La primera confirmación [del ataque] se detectó un par de horas después de que se realizara, como parte de la revisión rutinaria del código posterior a la confirmación. Los cambios fueron obviamente maliciosos y se revertieron de inmediato”, dijo Popov a BleepingComputer.

PHP es el lenguaje de programación del lado del servidor que alimenta a más de 79 por ciento de los sitios web en internet.

Aunque la organización lleva a cabo una investigación sobre el incidente, afirman que el ataque se originó en el servidor git.php.net y no con una cuenta Git de algún usuario.

Con los sistemas de control de versiones de código fuente como Git es posible firmar una cambio como otra persona a nivel local y luego cargar la confirmación falsificada en el servidor remoto.

Según Popov, los cambios afectaron a la rama de desarrollo de PHP 8.1, que se lanzará a finales de 2021. “Estamos revisando los repositorios para detectar cualquier corrupción más allá de las dos confirmaciones mencionadas”, puntualizó el desarrollador.

Migración a GitHub

Lenguaje PHP
Imagen utilizada con permiso del titular de los derechos de autor

Como precaución después de este incidente, los mantenedores de PHP han decidido migrar el repositorio oficial de código fuente PHP a GitHub.

“Si bien la investigación está en curso, hemos decidido que mantener nuestra propia infraestructura git es un riesgo de seguridad innecesario y descontinuaremos el servidor git.php.net”, afirmó Popov.

De esta manera, cualquier cambio de código se enviará a GitHub en lugar del servidor git.php.net. “Los repositorios en GitHub, que antes eran solo espejos, se volverán canónicos”, agregó el desarrollador.

Los interesados ​​en contribuir al proyecto PHP deberán ser agregados como parte de la organización PHP en GitHub.

Rodrigo Orellana
Ex escritor de Digital Trends en Español
Twitter, Facebook, Instagram, WhatsApp, Telegram, criptomonedas, metaverso, son algunos de los temas que aborda el periodista…
Así es el logo oficial de HyperOS, el nuevo sistema de Xiaomi
Los mejores celulares Xiaomi que puedes comprar este 2023.

La nueva piel de Xiaomi ya comienza a emerger de a poco, en una transición que espera consolidarse en 2024 para reemplazar al actual sistema operativo, MIUI. Se trata de HyperOS y hoy la marca china presentó en sociedad la iconografía y el logo.

Hoy la cuenta oficial de Xiaomi en X decidió revelar el nuevo logotipo de HyperOS, que puedes ver a continuación.

Leer más
Cómo el viento fue el arquitecto principal de la Esfinge egipcia
viento gran esfinge egipto lea kobal vvzlcuy1xck unsplash

El viento, ese elemento natural y poético que ha vivido toda la vida con nosotros, podría ser el principal arquitecto de una de las obras humanas más laureadas de la historia: la gran Esfinge de Egipto.

Eso fue lo que logró determinar un equipo de científicos de la Universidad de Nueva York, que replicó las condiciones que existían hace 4.500 años, cuando se construyó la Esfinge, para mostrar cómo el viento se movía contra las formaciones rocosas en la forma que posiblemente dio forma a una de las estatuas más reconocibles del mundo.

Leer más
Microsoft liberó accidentalmente 38 TB de datos privados
Microsoft Surface Laptop 5

Se acaba de revelar que los investigadores de Microsoft filtraron accidentalmente 38TB de información confidencial en la página GitHub de la compañía, donde potencialmente cualquiera podría verla. Entre el tesoro de datos había una copia de seguridad de las estaciones de trabajo de dos ex empleados, que contenían claves, contraseñas, secretos y más de 30,000 mensajes privados de Teams.

Según la firma de seguridad en la nube Wiz, la filtración se publicó en el repositorio GitHub de inteligencia artificial (IA) de Microsoft y se incluyó accidentalmente en un tramo de datos de entrenamiento de código abierto. Eso significa que se alentó a los visitantes a descargarlo, lo que significa que podría haber caído en las manos equivocadas una y otra vez.
Stock Depot / Getty Images
Las violaciones de datos pueden provenir de todo tipo de fuentes, pero será particularmente vergonzoso para Microsoft que esta se haya originado con sus propios investigadores de IA. El informe de Wiz indica que Microsoft cargó los datos utilizando tokens de firma de acceso compartido (SAS), una característica de Azure, que permite a los usuarios compartir datos a través de cuentas de Azure Storage.

Leer más