L'équipe de PEAR a publié plus de détails sur le récent incident de sécurité, expliquant que le "go-pear.phar" compromis trouvé sur son serveur semble avoir été placé après la dernière publication officielle du fichier le 20 décembre 2018.

Après avoir analysé la version compromise du gestionnaire de paquets, l'équipe a découvert que le module malveillant " produit un shell inversé utilisant Perl vers IP 104.131.154.154 " à partir des serveurs infectés, permettant aux acteurs malveillants de prendre le contrôle total sur sur ces machines, y compris la capacité d'installer des applications, exécuter du code malveillant et voler les données sensibles.

Selon la DCSO, une organisation allemande de cybersécurité qui a également analysé le code compromis, l'adresse IP du serveur 104.131.154.154.154 pointe vers un domaine web bestlinuxgames[...] com, qu'elle croit être un hôte compromis utilisé par les attaquants.

"Cette IP a été signalée à son hôte en regard de sa compromission. Aucune autre violation n'a été identifiée. Le fichier install-pear-nozlib.phar était correct. Le fichier go-pear.phar de GitHub était correct et pourrait être utilisé comme une bonne comparaison md5sum pour toute copie suspecte," a déclaré l'équipe PEAR dans une série de tweets.

"Donc, si vous avez téléchargé go-pear.phar depuis 12/20 afin de l'exécuter une fois pour installer le paquet PEAR sur votre système, vous devriez être inquiet, surtout si votre système utilise aussi 'sh' et 'perl'.

"Notez également que cela n'affecte pas le paquet d'installation PEAR lui-même... cela affecte l'exécutable go-pear.phar que vous utiliseriez pour installer initialement l'installateur PEAR. L'utilisation de la commande 'pear' pour installer divers paquets PEAR n'est pas affectée."