La voz de alerta la dio Google con un aviso de su Safe Browsing que marcaba PHP.net como sitio sospechoso e informaba en navegadores Chrome y Firefox de software malicioso que podría dañar los equipos.

Aunque en principio se pensó que podría ser un ‘falso positivo’, finalmente se ha confirmado el ataque que ha comprometido el portal de PHP, un lenguaje de programación vital para Internet ya que es utilizado por millones de sitios web.

La infección se ha producido mediante un Java Script que contenía código ofuscado y generaba un iframe oculto que cargaba otro script adicional, de un tercer dominio, para finalmente acabar siendo víctima del exploit kit Magnitude para intentar extender la infección el mayor tiempo y número de usuarios posible.

El último reporte de situación de PHP explica que, los certificados de seguridad han sido revocados ya que podrían estar en mano de los atacantes. Aunque se cree que el servidor de repositorios Git no ha sido afectado, se ha bloqueado en modo lectura y migrado a otro servidor, al igual que harán todos los servidores.

Todas las cuentas de desarrolladores deberán ser reiniciadas como medida de seguridad ya que no se conoce el alcance de la infección.

Fuente: muyseguridad