黑客对PHP项目发起供应链攻击并篡改源代码 所幸被及时发现无严重影响

知名编程开发语言PHP开发团队日前发布公告称，有黑客通过PHP Git 服务器提交恶意代码试图发起供应链攻击。

就目前来说尚不清楚黑客是如何完成攻击的 , 但开发团队认为自己独立维护的git.php.net服务器可能是问题源头。

因此基于安全考虑开发团队决定放弃自己维护独立服务器，接下来整个项目的源代码和更新迁移到 Github 平台。

初步调查报告显示攻击者最初向项目提交两处变更，变更理由时修复拼写错误，且提交者还是PHP的知名开发者。

在初次提交不久后攻击者再次提交变更，这次恶意提交又以另一名知名的PHP开发者名义提交的因此具有迷惑性。

尽管并非真正的团队开发者提交但很容易出现误认，这也可能是相关恶意提交并成功合并到PHP项目代码的原因。

所幸团队开发者在检查源代码时发现相关的恶意提交并立即删除源代码，因此这次供应链攻击对黑客而言未成功。

如果没有发现恶意代码并合并到主线程中后，可能会给全球数以百万计的基于PHP开发的网站造成严重安全威胁。

黑客如何拿下PHP的服务器暂时还不清楚，但是初步调查结果认为这次攻击可能与服务器存在的某些缺陷有关联。

因此基于安全考虑PHP不再维护自己的更新服务器，接下来开发团队将把整个项目迁移到 Github 平台进行托管。

到时候非官方开发者亦可通过 Github 平台提交反馈和改进，同时也有助于提高项目变更透明度以及提高安全性。

另外开发团队也强调此次恶意代码提交不会影响到使用者，因为恶意代码还未被打包成发行版因此没有人会更新。