本次通告的安全风险影响广泛，建议近期更新PHP源代码的用户提高警惕仔细检查，避免遭受供应链攻击。

事件描述

3月28日，PHP官方的git.php.net服务器被黑客攻击，有两个恶意代码分支被提交到php-src Git仓库中，代码库中被插入远程代码执行的后门。代码库中新增的第370行调用zend_eval_string函数的地方，这段代码实际上是为运行这个被劫持的PHP版本的网站埋下了一个后门，以通过此后门攻击者可进行远程代码执行（RCE）。

鉴于本次安全风险的发生，PHP官方将停用git.php.net服务器并将源码库迁移至GitHub，之后任何代码的修改都会直接推送到GitHub上。如果用户想向PHP项目提交代码，需要在GitHub上被添加为PHP组织成员并启用双因素认证。这些改动是在PHP8.1 的开发分支上，该分支将于年底发布。

本次事件仍在调查中，PHP的Git服务器如何被入侵以及对其他分支的影响目前尚不明确。

参考链接
[1]https://news-web.php.net/php.internals/113838
[2]https://www.cnbeta.com/articles/tech/1107953.html
[3]https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d
[4]https://github.com/php/php-src/commit/2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a