De officiële site van scripttaal PHP heeft tussen dinsdag en donderdag malware afgeleverd bij bezoekers, doordat hackers een malafide JavaScriptje aan een bestand hadden gehangen. Dat meldt de nieuwsdienst van Webwereld-uitgever IDG. Google’s Safe Browsing-project detecteerde de malware dinsdag en blokkeerde de toegang voor aangesloten browsers, zoals Chrome, Firefox en Safari.

Bezoekers zijn vermoedelijk doorverwezen naar een pagina waar exploitkit Magnitude op draait en zijn daardoor mogelijk geïnfecteerd met de trojan Tepfer, een hardnekkig stukje Windows-malware dat onder meer wachtwoorden steelt. De trojan wordt sinds maart door vrijwel alle grote virusscanners gedetecteerd.

De beheerders van PHP.net vermoedden aanvankelijk dat het om een false positive ging, volgens een bericht op de eigen site omdat Google traag was in het doorgeven van de precieze reden van de melding. Na onderzoek bleek dat userprefs.js, dat gebruikersinstellingen verwerkt in de browser, is aangepast door onbekenden die toegang hadden gekregen tot twee servers.

Volgens de eigenaars van PHP.net is de malware maar kortstondig afgeleverd. Voor de zekerheid is ook een SSL-certificaat ingetrokken waar de hackers mogelijk toegang tot hadden. Versleutelde toegang tot PHP.net is daarom tijdelijk niet mogelijk. Er zijn verder geen repo’s aangepast.