Reading Time: 2 minutes
Hackers invadiram o website do PHP PEAR e substituiram o Official Package Manager.

Se acedeu ao website do PHP PEAR e descarregou  o package manager nos últimos 6 meses, então, pode estar agora comprometido.

Na semana passada, os developers da PEAR deixaram o website oficial do PEAR (pear-php.net) em baixo depois de descobrirem que alguém substituiu o packager manager original – PHP PEAR – (go-pear.phar) por uma versão modificada do core do PEAR.

Embora este caso ainda esteja em análise, foi publicada uma nota no dia 19 de janeiro de 2019 que confirmou que o website foi supostamente hackeado e o ficheiro de instalação do PEAR estava contaminado com malware. O ficheiro permaneceu contaminado pelo menos durante meio ano, disseram os developers do PEAR.

php-pear-hack

 

Como muitas empresas de alojamento, incluindo provedores de alojamento partilhado, permitem que os utilizadores instalem e executem o PEAR, esta última violação de segurança pode afetar um grande número de websites.

“If you have downloaded this go-pear.phar in the past six months, you should get a new copy of the same release version from GitHub (pear/pearweb_phars) and compare file hashes. If different, you may have the infected file,” the note on the official PEAR website reads.

 

De acordo com os developers da PEAR, a equipa está atualmente a realizar uma investigação forense para determinar qual é a extensão do ataque e como os adversários conseguiram comprometer o servidor.

Uma nova versão limpa está agora disponível no GitHub version 1.10.10 of pearweb_phars. Os provedores de alojamento, e todos aqueles que pensam estar infetados, devem atualziar as suas versões para a versão mais recente.