® MinOtaVr'S Blog!

 Οι επισκέπτες στο επίσημο site της γλώσσας προγραμματισμού PHP τις τελευταίες ημέρες, είναι πιθανόν να έχουν μολύνει τα PCs τους με malware που hackers κατάφεραν να εισάγουν στο php.net site.

Η μόλυνση έγινε με τοποθέτηση κακόβουλου JavaScript κώδικα στο αρχείο userprefs.js, μέσω του οποίου στέλνονταν αιτήσεις σε εξωτερικό site που σκάναρε τον browser του επισκέπτη για ευάλωτα plugins και όταν τα εντόπιζε μέσω exploits εγκαθιστούσε στον υπολογιστή malware.

Τα exploits, την κίνηση data των οποίων κατέγραψαν εργαλεία της Barracuda, έρχονταν σε μορφή κώδικα flash, SWF, κάνοντας πιο πιθανή την επίθεση εναντίον αδυναμίων στον Adobe Flash Player, και μετά την επιτυχή εγκατάσταση προσπαθεί να συνδεθεί σε 36 διαφορετικούς command-and-control servers παγκοσμίως και από ότι φαίνεται το καταφέρνει σε 4 από αυτούς.

Το PHP Group που διαχειρίζεται το php.net και τα πακέτα διανομής της PHP, στην αρχή νόμιζε πως το πρόβλημα προέρχεται από σφάλμα του Google Safe Browsing detection, όταν το site τους έγινε blacklisted και οι χρήστες Firefox και Chrome λάμβαναν προειδοποίηση πως αυτό περιέχει malware, ενώ ισχυρίζονται πως τα πακέτα της PHP δεν μολύνθηκαν.

[via]