ハッカーがPHPの開発者になりすましてソースコードにバックドアを仕込んでいたことが判明

オープンソースのプログラミング言語であるPHPの開発者らが使用していたGitサーバーに何者かが侵入し、PHPのソースコードにバックドアをしかけていたことが判明しました。ハッカーは悪意のあるコミットをプッシュする際、PHPの開発者であるラスマス・ラードフ氏らになりすましていました。

php.internals: Changes to Git commit workflow
https://news-web.php.net/php.internals/113838

PHP's Git server hacked to add backdoors to PHP source code
https://www.bleepingcomputer.com/news/security/phps-git-server-hacked-to-add-backdoors-to-php-source-code/

Hackers backdoor PHP source code after internal repo hack | The Record by Recorded Future
https://therecord.media/hackers-backdoor-php-source-code-after-internal-repo-hack/

Hackers backdoor PHP source code after breaching internal git server | Ars Technica
https://arstechnica.com/gadgets/2021/03/hackers-backdoor-php-source-code-after-breaching-internal-git-server/

PHPの開発者の1人であるニキータ・ポポフ氏は2021年3月28日に、PHPに悪意あるソースコードが挿入されていたことを発表しました。その中でポポフ氏は「昨日、ラードフと私の名前で、2つの悪意あるコミットがphp-srcのGitリポジトリにプッシュされました。具体的に何が起きたのかは調査中ですが、すべての証拠がgit.php.netサーバーへの侵入があったことを示しています」と述べました。

実際に、PHPのリポジトリで不正なコードが発見された際のやりとりが以下。ラードフ氏によるタイプミスの修正を装ったソースコードの改変が行われていますが、ラードフ氏は関与していないとのこと。

バックドアの存在は、チェコのエンジニアであるMichael Voříšek(mvorisek)氏が「これは何をしているんですか？」と不審なコードを指摘したことで発覚しました。問題のコードは、User-Agent HTTPヘッダーに「zerodium」という文字列が含まれている場合、その文字列を読み飛ばした部分をPHPコードとして扱い、任意のコードを実行させるというものでした。

Zerodiumとは、ハッカーやセキュリティ研究者から脆弱性を買い取っているアメリカの情報セキュリティ会社の名前です。ZerodiumのCEOであるChaouki Bekrar氏はTwitterで、「明らかに、私たちはこの一件とは何の関係もありません。おそらく、何者かがバグかエクスプロイトを発見して売りさばこうとしましたが、誰も買おうとしなかったので、腹いせにやったのでしょう」とコメントしました。

PHPの開発チームはセキュリティが破られたことを受けて、内部のGitサーバーはもう信頼できないと判断し、ソースコードの管理機能をGitHubに移管することを決定しました。これにより、今後のPHPの変更はGitHubに直接プッシュされるようになるとのことです。

ポポフ氏は、IT系ニュースサイトのBleeping Computerに対し、「今回問題が見つかった2つのコミット以外の改変があるかどうか、リポジトリを確認しているところです」と話して、今回の不正アクセスの影響についての調査を継続していく考えを示しました。

なお、今回の問題が見つかったのは、2021年末にリリースされる予定であるPHP8.1の開発ブランチ上だったとのこと。海外メディアのThe Record by Recorded Futureは「統計調査によると、PHPはインターネット上のすべてのWebサイトの約80％で使用されていますが、ほとんどのPHPサーバーはパッチの適用や最新のソフトウェアバージョンの実行が遅れているため、今回の事件は、ごく一部のシステムにしか影響を与えなかったと考えられます」と述べて、影響が及ぶ範囲は最小限との見方を示しています。