PHPデベロップメントチームは3月28日(米国時間)、「php.internals: Changes to Git commit workflow」において、同日に2つの悪意あるコミットがPHPのソースコードリポジトリへプッシュされたと伝えた。このコミットはRasmus Lerdorf氏およびNikita Popov氏の名前のもとで行われたとされており(当人らはこうした行動は行っていない)、なぜこのような事態が発生したのかわからないと説明している。状況から判断するに、それぞれのgitアカウントが窃取されたのではなく、git.php.netが不正侵入を受けたようだという。

  • php.internals: Changes to Git commit workflow

    php.internals: Changes to Git commit workflow

悪意ある変更は次の2つと見られる。

どちらもコメントは「Fix typo (スペルミスの修正)」といったものになっているが、実際には悪意あるコードを追加する内容になっている。

このサイバーインシデントは現在調査中とされており、誰が何の目的で行ったものかはまだ明らかになっていない。ただし、このままgitインフラストラクチャを維持していくことはリスクが高いとし、PHPの開発者はgit.php.netサーバの使用を停止することを決定したと説明。代わりに、これまでミラーとして活用してきたGitHubのリポジトリをオフィシャルのリポジトリとして使用するという。

サイバー犯罪者は常に新しいサイバー攻撃の方法を模索している。オープンソース・ソフトウェアに不正コードを仕込むというのもそうした方法のひとつであり、PHPのリポジトリへ不正コードをプッシュしたのもそうした目的だったことが推測される。

PHPデベロップメントチームと似たようなサーバを運用している場合、同じように不正プッシュの被害を受ける可能性があり注意が必要と注意を促している。今後PHPデベロップメントチームからより詳しい調査結果が発表された場合、内容を確認し、必要に応じて対応していくことが望まれる。