Site oficial do PHP é invadido e visitantes se tornam vítimas de exploit

Por Redação | 25.10.2013 às 17:13
photo_camera Divulgação

Popular e com uma comunidade de profissionais e entusiastas muito forte, o site oficial da linguagem de programação PHP foi invadido e pode ter infectado computadores de milhares de pessoas que o acessam diariamente.

Segundo informações da PCWorld, hackers conseguiram invadir os servidores do php.net e injetar um JavaScript malicioso chamado "userpref.js". Ao acessar a página, o JavaScript era executado no navegador do visitante e enviava requisições a sites de terceiros. Estes, por sua vez, executavam uma varredura no navegador em busca de plugins vulneráveis para então instalar malwares.

De acordo com o pesquisador da Barracuda Networks, Daniel Peck, o exploit vinha em forma de arquivos SWF que provavelmente buscavam explorar falhas no Flash Player da Adobe. No entanto, ainda não se sabe exatamente quais vulnerabilidades eram o alvo do malware, se ele se trata de uma nova família de pragas virtuais ou de uma já existente.

Quanto ao php.net, o site foi posto na blacklist no começo da quinta-feira (24) pelo Google Safe Browsing, serviço utilizado pelo Google Search, Google Chrome e Mozilla Firefox para prevenir que seus usuários visitem sites considerados de risco ou maliciosos. É provável que muitos tenham se deparado com aquela tela vermelha berrante alertando-os sobre uma suspeita de malware.

Em nota, o PHP Group, grupo que mantém o php.net, afirmou ainda estar investigando como o arquivo foi parar lá e acalmou a comunidade ao afirmar que todos os dados já foram migrados para um novo servidor limpo e que nenhuma distribuição PHP foi comprometida.

Até o momento, ainda não está claro se a intenção real foi atacar o site php.net pela grande quantidade de visitantes que ele tem ou pela maioria dos seus visitantes ser composta por desenvolvedores e possuir vasto material intelectual, códigos-fonte e outras informações sensíveis. O que se sabe é que o número de infectados pode ter sido muito pequeno, já que o arquivo JavaScript era removido continuamente por um processo de sincronização que o restaurava a seu estado original.

Mesmo assim, é sempre bom ficar atento a qualquer comportamento suspeito e estar com suas definições anti-vírus em dia.