Unha ferramenta de investigación de Barracuda Networks detectou tráfico procedente de php.net e un investigador da compañía declarou que hackers inxectaran código JavaScript daniño no arquivo userprefs.js da web php.net. O ataque redirixía aos visitantes de php.net a unha web de terceiros que buscaba plugins vulnerables nos navegadores do usuario para comprometer os sistemas dos visitantes a través dun arquivo SWF con código daniño.
Polo momento, php.net descoñece como os hackers comprometeron os dous servidores que servían o JavaScript daniño, pero informan que non se comprometeron nin o repositorio git nin os ficheiros de código fonte.
Barracuda Networks proporcionou unha captura de paquete (PCAP) e revelou os números de paquete nos que se descargaron o SWF e o executable daniños. Barracuda Netwoks non determinou aínda que vulnerabilidade Flash utilizou o SWF daniño para descargar o executable nos sistemas das vítimas. iDefense obtivo o executable a partir do arquivo PCAP e presentouno a virustotal.com, que confirmou que se trataba dun executable daniño. Despois de investigar o arquivo, iDefense concluíu que o kit de explotación Magnitude (Popads) servira o arquivo SWF daniño.
O equipo php.net declarou que o JavaScript daniño foi distribuído entre o 22 e o 24 de outubro. Os hackers comprometeron dous servidores php.net, que quedaron desconectados de Internet, e php.net planea emitir un novo certificado SSL para a súa web.