Se acedeu ao website do PHP PEAR e descarregou o package manager nos últimos 6 meses, então, pode estar agora comprometido.
Na semana passada, os developers da PEAR deixaram o website oficial do PEAR (pear-php.net) em baixo depois de descobrirem que alguém substituiu o packager manager original – PHP PEAR – (go-pear.phar) por uma versão modificada do core do PEAR.
Embora este caso ainda esteja em análise, foi publicada uma nota no dia 19 de janeiro de 2019 que confirmou que o website foi supostamente hackeado e o ficheiro de instalação do PEAR estava contaminado com malware. O ficheiro permaneceu contaminado pelo menos durante meio ano, disseram os developers do PEAR.
Como muitas empresas de alojamento, incluindo provedores de alojamento partilhado, permitem que os utilizadores instalem e executem o PEAR, esta última violação de segurança pode afetar um grande número de websites.
“If you have downloaded this go-pear.phar in the past six months, you should get a new copy of the same release version from GitHub (pear/pearweb_phars) and compare file hashes. If different, you may have the infected file,” the note on the official PEAR website reads.
De acordo com os developers da PEAR, a equipa está atualmente a realizar uma investigação forense para determinar qual é a extensão do ataque e como os adversários conseguiram comprometer o servidor.
Uma nova versão limpa está agora disponível no GitHub version 1.10.10 of pearweb_phars. Os provedores de alojamento, e todos aqueles que pensam estar infetados, devem atualziar as suas versões para a versão mais recente.
A security breach has been found on the https://t.co/dwKlscDEFf webserver, with a tainted go-pear.phar discovered.
The PEAR website itself has been disabled until a known clean site can be rebuilt. A more detailed announcement will be on the PEAR Blog once it’s back online.— PEAR (@pear) January 19, 2019