Xakep #237. Даркнет 2018

• Содержание выпуска


• Подписка на «Хакер»

PEAR (PHP Extension and Application Repository), появившийся еще 1990 годах, был первым менеджером пакетов для PHP, и по сей день остается весьма популярным решением, несмотря на появление Composer.

Разработчики по-прежнему могут использовать версию PEAR, которая поставляется с PHP, но также могут обновить его, загрузив go-pear.phar с сайта, где также размещены все PEAR-совместимые библиотеки.

На прошлой неделе сайт pear.php.net ушел в оффлайн (и не работает до сих пор), а на его главной странице появилось сообщение о взломе. Краткое предупреждение гласит, что на веб-сервере была обнаружена «загрязненная» версия go-pear.phar, и всем, кто загружал файл за последние полгода, следует загрузить «чистую» версию из официального репозитория GitHub и сравнить хэши. Если они отличаются, стоит считать, что произошла компрометация, и действовать соответственно.

По данным VirusTotal, подмененный файл go-pear.phar содержал некий вредоносный код, который некоторые продукты расценивают как бэкдор.

Что именно делал этот бэкдор, до сих пор неясно, так как разработчики PEAR  продолжают расследование случившегося и изучают код. Опубликовать детали инцидента и объяснить, как именно go-pear.phar был подменен еще полгода назад (и почему этого никто не заметил), обещают в скором будущем, когда завершится расследование. Официальный сайт так же скоро должен возобновить работу, когда команда разработки будет уверена, что избавилась от всех следов  присутствия злоумышленников.