php代碼注入漏洞PHP主Git軟件供應鏈利用開放源代碼存儲庫作為攻擊網站360 php防注入代碼

2022-04-26

PHP 項目周一宣布它已被黑客入侵。 PHP的主Git服務器被非法訪問，攻擊者上傳了兩個惡意提交，包括一個后門小程序開發(fā)，在投入生產之前就被發(fā)現了。

PHP是最流行的Web開發(fā)開源腳本語言之一，代碼可以嵌入HTML。惡意提交被推送到 php-src 存儲庫，從而使攻擊者有機會進行供應鏈攻擊以感染不知情的網站。

兩個提交都聲稱在源代碼中有“固定的拼寫錯誤”。根據周日發(fā)送到該項目郵件列表的消息，攻擊者使用 PHP 維護者的名稱上傳文件和 .認為這不僅僅是憑據盜竊。

php代碼注入漏洞PHP主Git軟件供應鏈利用開放源代碼存儲庫作為攻擊網站360 php防注入代碼(圖1)

為了應對這次黑客攻擊php代碼注入漏洞，PHP 已將其服務器移至 .

他還指出，PHP 正在檢查其所有存儲庫中是否存在其他惡意提交。

武器化軟件供應鏈

利用開源代碼存儲庫作為攻擊網站和應用程序的手段并不罕見。

例如，研究人員在 3 月份在 npm 公共代碼存儲庫中發(fā)現了針對、Lyft 和（和其他）內部應用程序的惡意程序包，所有這些程序都泄露了敏感信息。這些軟件包利用了概念驗證 (PoC) 代碼依賴混淆漏洞，該漏洞最近由安全研究員 Alex 設計，用于將惡意代碼注入開發(fā)人員項目。

與此同時，1 月份php代碼注入漏洞，三個惡意軟件包通過偽裝成合法代碼發(fā)布到 npm。研究人員表示，任何被代碼破壞的應用都可能竊取用戶的令牌和其他信息。

去年 12 月，在（Ruby Web 編程語言的開源包存儲庫和管理器）中發(fā)現了兩個帶有惡意軟件的軟件包網站制作，其中兩個包被下線。

久久99Se,黄色毛片在线观看,97中文字幕无码,暗交小拗女一区二区三区三,亚洲熟女AV综合一,亚洲图片欧美色图,又大又长又硬又黄视频,黑人又粗又大一级毛片,亚洲三级片免费观看,激情小说图片区亚洲欧美