Выявлены следы взлома PHP-репозитория PEAR и модификации пакетного менеджера

Сообщается об обнаружении следов взлома официального репозитория пакетов PEAR (PHP Extension and Application Repository), предлагающего дополнительные функции и классы для языка PHP. В ходе атаки злоумышленникам удалось получить доступ к web-серверу проекта и внести изменения в файл "go-pear.phar", в котором содержится установочный комплект с пакетным менеджером "go-pear". Модификация была осуществлена 6 месяцев назад.

Потенциально могут быть скомпрометированы системы пользователей PHP, за последние 6 месяцев выполнявших установку пакетного менеджера "go-pear" из phar-архива (как правило, такая установка практикуется пользователями Windows). Для проверки наличия вредоносного кода в установленном файле рекомендуется сравнить хэши имеющегося у пользователя архива "go-pear.phar" с аналогичной версией архива, поставляемой через официальный репозиторий на GitHub (репозиторий на GitHub не скомпрометирован, файл был подменён на web-сервере PEAR). MD5-хэш известного варианта с вредоносным кодом - "1e26d9dd3110af79a9595f1a77a82de7".

Подробности пока не сообщаются. До завершения разбирательства и полной пересборки содержимого сайта работа сервера PEAR остановлена.

Источник: OpenNET