Hackearon el lenguaje de programación PHP: hace funcionar el 80% de las páginas web

Ciberdelincuentes realizaron cambios maliciosos en el código del lenguaje de programación PHP. Le adjudicaron el ataque al grupo de especialistas Zerodium y ellos lo negaron. Qué pasó y cómo afectaron al repositorio oficial.

Días atrás, se dio a conocer que ciberdelincuentes accedieron al código madre del lenguaje de programación PHP, uno de los lenguajes más utilizados en páginas web. Aproximadamente el 79% de los sitios están escritos con PHP por tratarse de un lenguaje flexible.

Cómo lograron hackear el código fuente de PHPEs un lenguaje que corre del lado del servidor: cuando se desarrolla una aplicación web, se debe seleccionar un servidor para alojar las bases de datos. ¿Por qué es necesario elegir un servidor? Cuando una persona cliquea un botón en una página web, lo que hace es enviar al servidor una solicitud (o request, en inglés) y este envía la respuesta. En conclusión, PHP permite ejecutar y transferir datos del lado del servidor cuando un usuario envía un request. Cómo fue hackeado el lenguaje y qué cambios hará la organización para proteger millones de servidores.

Cómo lograron hackear el código fuente de PHP

El hackeo fue a través del repositorio Git interno del lenguaje PHP (git.php.net). ¿Qué es un repositorio Git? En principio, un repositorio Git es creado dentro de la plataforma de código GitHub, que permite a varios desarrolladores colaborar en un mismo proyecto en "ramas". Cada proyecto consta de una rama maestra y pueden crearse múltiples ramas secundarias para luego compilarlas en una principal. Una vez que el código está completo, es posible inyectarlo en un repositorio Git. En cuanto a su uso, la plataforma funciona con una serie de comandos en una consola.

Debido al ataque, GitHub decidió discontinuar el servidor oficial git.php.net. A partir de esta semana, las modificaciones del lenguaje se realizarán directamente desde la plataforma colaborativa de GitHub.

Según el desarrollador Nikita Popov, al parecer los atacantes no comprometieron una cuenta de Git sino el servidor git.php.net. Los ciberatacantes realizaron dos cambios en el repositorio php-src para que las personas reproduzcan el código del repositorio en un servidor y robar datos. Por el momento, hay una investigación en marcha y nadie utilizó el código malicioso.

Precisamente, los delincuentes cambiaron la petición HTTP para insertar una puerta trasera en el código PHP. Cuando se ejecuta el backdoor, el atacante redirecciona la petición al servidor de Zerodium, una organización de profesionales especializados en ciberseguridad que ofrecen programas de compra para exploits de día cero (conocidos en inglés como zero days exploits). ¿Qué son los ataques de día cero? Es una vulnerabilidad que tiene cero días de exposición al desarrollador de software. Se aprovecha del desconocimiento y las vulnerabilidades del código para robar datos de los usuarios.

En este contexto, Zerodium dijo públicamente que no está relacionada con el ataque. Por esta razón, varias comunidades de desarrolladores sugieren que los hackers querían "llamar la atención" y se trata de un ataque pequeño.

Tags relacionados

Más de Actualidad