En 2021, se produjo un incidente destacado cuando ciberdelincuentes lograron acceso al código fuente principal del popular lenguaje de programación PHP, ampliamente utilizado en la creación de páginas web. Cerca del 79% de los sitios web están escritos en PHP debido a su versatilidad.

El hackeo se llevó a cabo a través del repositorio interno Git de PHP (git.php.net). Git es una plataforma utilizada para la colaboración en proyectos de desarrollo de software, permitiendo a múltiples desarrolladores trabajar en diferentes ramas del código que luego se fusionan en la rama principal. Los atacantes realizaron cambios maliciosos en el repositorio php-src con la intención de insertar una puerta trasera en el código PHP. Esta puerta trasera podría redirigir solicitudes a un servidor controlado por Zerodium, una empresa especializada en seguridad cibernética que compra vulnerabilidades de día cero.

A raíz del ataque, GitHub decidió discontinuar el servidor git.php.net, y las futuras modificaciones al lenguaje PHP se realizarán directamente desde GitHub. Según el desarrollador Nikita Popov, los atacantes no comprometieron una cuenta de Git, sino el servidor en sí. Aunque se identificaron cambios maliciosos, no se reportaron incidentes de explotación por parte de terceros hasta ese momento.

Es importante destacar que Zerodium negó públicamente estar relacionado con el ataque, sugiriendo que los hackers posiblemente intentaban llamar la atención más que realizar un ataque significativo. La comunidad de desarrolladores continúa vigilante y comprometida con reforzar la seguridad para proteger millones de servidores que utilizan PHP.