本周一PHP项目宣布遭到黑客攻击，PHP的主Git服务器被非法访问，攻击者上载了两个恶意提交，其中包括后门，但在投入生产环境之前就被发现了。

PHP是最流行的Web开发开源脚本语言之一，代码可嵌入HTML。恶意提交被推送到php-src存储库，从而为攻击者提供了一个供应链攻击机会，感染不知情的网站。

两次提交都声称在源代码中“修正了拼写错误”。根据周日Popov发送到该项目邮件列表的消息，攻击者使用PHP的维护者Rasmus Lerdorf和Nikita Popov的名称上传了这些文件。Popov认为这不仅是凭证盗窃那么简单。

他解释说：“我们还不知道这是怎么发生的，但是一切都指向git.php.net服务器被入侵（而不仅是单个git账户的入侵）。”

为了应对这种黑客攻击，PHP已将其服务器移至GitHub。

“虽然调查仍在进行中，但我们认为维护自己的git基础结构是不必要的安全风险，我们将停止git.php.net服务器，”Popov解释说。“相反，GitHub上以前只是镜像的存储库将成为主存储库。更改将被直接推送到GitHub而不是git.php.net…此更改也意味着现在可以直接在GitHub Web界面合并pull requests请求。”

他还指出，PHP正在检查其所有存储库中是否存在其他恶意提交。

武器化软件供应链

利用开放源代码存储库作为攻击网站和应用程序的手段并不少见。

例如，3月研究人员在npm公共代码存储库中发现了针对Amazon、Lyft、Slack和Zillow（以及其他）内部应用程序的恶意程序包-所有这些程序包都泄露了敏感信息。这些软件包利用了概念验证（PoC）代码依赖关系混淆漏洞，这是安全研究人员Alex Birsan最近设计的，用于将流氓代码注入开发人员项目。

同时在一月，三个恶意软件包被发布到npm，通过使用brandjacking伪装成合法代码。研究人员说，任何被代码入侵的应用程序都可能从Discord用户那里窃取令牌和其他信息。

去年12月，人们在RubyGems（一个用于Ruby Web编程语言的开源软件包存储库和管理器）中发现两个带有恶意软件的软件包，随后将其两个软件包脱机。