Основы Интернет - технологий.

Исследователи из компаний StepSecurity, Aikido Security и Socket сообщили о необычной атаке на цепочку поставок, затронувшей популярные пакеты локализации Laravel Lang. На этот раз злоумышленники не публиковали вредоносные релизы и не меняли код в официальных репозиториях. Вместо этого они изменяли GitHub-теги, подменяя их на коммиты из подконтрольных форков.

Атака затронула пакеты laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes и, вероятно, laravel-lang/actions. Это сторонние библиотеки для Laravel, не связанные с официальным проектом.

По данным специалистов Aikido, атакующие скомпрометировали 233 версии пакетов, а аналитики Socket сообщают о примерно 700 затронутых тегах. При этом вся вредоносная операция заняла около 15 минут: первые изменения появились вечером 22 мая, а уже к полуночи все четыре репозитория были скомпрометированы.

Главной особенностью этой кампании стало использование механики GitHub, позволяющей тегам ссылаться на коммиты из форков того же репозитория. В результате Composer загружал вредоносный код под видом легитимных релизов Laravel Lang.

Как объясняют специалисты StepSecurity, злоумышленник «переназначил» существующие теги на вредоносные коммиты, а не создавал новые версии пакетов. Во всех репозиториях исследователи обнаружили одинаковый набор изменений, идентичный вредоносный код, а также одни и те же данные автора коммитов. По мнению специалистов, это указывает на работу одного атакующего, который, вероятно, получил доступ к учетной записи с правами на публикацию тегов во всей организации Laravel Lang.

Вредоносная нагрузка добавляла в пакеты файл src/helpers.php, автоматически подгружаемый через Composer. Файл выступал в роли дроппера и загружал малварь второй стадии атаки с домена flipboxstudio[.]info.

Финальный пейлоад представлял собой кроссплатформенный PHP-стилер для Windows, Linux и macOS. Малварь охотилась за облачными учетными данными AWS, GCP и Azure, секретами Kubernetes, токенами HashiCorp Vault, SSH-ключами, конфигурациями Docker и Helm, данными CI/CD-систем, .env-файлами, JWT, токенами GitHub, Slack и Stripe, а также seed-фразами для криптовалютных кошельков.

Кроме того, вредонос собирал данные браузеров, менеджеров паролей, VPN-конфигурации и учетные данные разработчиков. Для поиска секретов использовались regex-шаблоны, сканировавшие файлы и переменные окружения.

Отдельно подчеркивается, что на устройствах под управлением Windows атака была еще опаснее. PHP-скрипт извлекал встроенный exe-файл и запускал его из временной директории. Анализ показал, что этот компонент, получивший имя DebugElevator, атаковал Chrome, Brave и Edge, извлекая ключи App-Bound Encryption для расшифровки сохраненных паролей.

Также исследователи обнаружили в PDB-пути имя пользователя Mero и упоминание Claude, что может указывать на использование ИИ при разработке Windows-компонента малвари.

После уведомления от исследователей администрация Packagist удалила вредоносные версии и временно скрыла пострадавшие пакеты, чтобы предотвратить дальнейшие установки и распространение малвари.

Специалисты рекомендуют всем разработчикам, использовавшим Laravel Lang, срочно проверить установленные версии пакетов, сменить потенциально скомпрометированные ключи и токены, а также поискать в логах соединения с доменом flipboxstudio[.]info.