Forskere afslørede et omfattende Laravel-malwareangreb efter, at trusselsaktører kompromitterede populære Laravel Lang-pakker, som bruges på tværs af PHP-udviklingsmiljøer. Angriberne manipulerede betroede pakkeversioner for at distribuere malware, der stjæler legitimationsoplysninger, gennem Composer-installationer.
Sikkerhedseksperter advarede om, at angrebet rettede sig mod udviklere, CI/CD-pipelines, cloud-legitimationsoplysninger og produktionsinfrastruktur. Hændelsen fremhæver også den voksende trussel fra software supply chain-angreb rettet mod open source-økosystemer.
Angribere Kompromitterede Laravel Lang-Pakker
Forskere opdagede ondsindede ændringer, der påvirkede flere Laravel Lang-repositories, som bruges bredt til lokaliseringsunderstøttelse i Laravel-applikationer.
De kompromitterede repositories omfattede:
- laravel-lang/lang
- laravel-lang/http-statuses
- laravel-lang/attributes
- laravel-lang/actions
Efterforskere oplyste, at angriberne modificerede hundredvis af pakkeversioner gennem ondsindet manipulation af GitHub-tags. Forskere advarede om, at udviklere kan have installeret kompromitterede pakker uden at bemærke mistænkelig aktivitet under normale opdateringer af afhængigheder.
Selvom pakkerne ikke er en del af det officielle Laravel-framework, bruges de stadig bredt i PHP-økosystemet.
Laravel-Malwareangrebet Brugte Betroede Pakkeversioner
Forskere forklarede, at angriberne undgik at udgive åbenlyst ondsindede nye versioner. I stedet omdirigerede de eksisterende GitHub-tags til ondsindede commits gemt i angriberkontrollerede forks.
Den ondsindede payload introducerede skjulte PHP-filer, som blev eksekveret automatisk gennem Composers autoload-funktionalitet. Da Laravel-applikationer indlæser Composer-afhængigheder ved opstart, blev malware aktiveret umiddelbart efter installation.
Sikkerhedsforskere advarede om, at denne teknik gør opdagelse betydeligt sværere, fordi pakkenavne og versionsnumre fremstår legitime.
Malware Rettede Sig Mod Udvikleres Legitimation
Laravel-malwareangrebet fokuserede kraftigt på at stjæle følsomme legitimationsoplysninger fra udviklere og infrastruktur.
Forskere oplyste, at malware forsøgte at indsamle:
- Legitimation til cloudtjenester
- SSH-nøgler
- GitHub- og GitLab-tokens
- Kubernetes-konfigurationer
- Docker-legitimation
- VPN-filer
- Kryptovaluta-walletdata
- Browserlagrede adgangskoder
- Hemmeligheder i miljøkonfigurationer
Malwaren understøttede angiveligt Windows-, Linux- og macOS-systemer. Forskere advarede også om, at angriberne krypterede stjålne oplysninger, før de blev sendt til fjerninfrastruktur.
Sikkerhedseksperter mener, at operationen havde til formål at kompromittere udviklingspipelines og cloudmiljøer for yderligere angreb.
Supply Chain-Angreb Fortsætter Med At Stige
Forskere advarede om, at software supply chain-angreb fortsætter med at vokse på tværs af open source-økosystemer. Angribere retter sig i stigende grad mod betroede repositories, fordi kompromitterede afhængigheder hurtigt kan sprede sig gennem udviklingsmiljøer og automatiserede deploymentsystemer.
Laravel-malwareangrebet følger flere nylige hændelser, der involverer ondsindede npm-, PyPI- og Composer-pakker designet til at stjæle legitimationsoplysninger eller indsætte bagdøre i produktionsmiljøer.
Sikkerhedseksperter advarede om, at udviklere og organisationer skal overvåge afhængighedskæder langt mere nøje, efterhånden som angribere fortsætter med at misbruge betroede softwaredistributionsplatforme.
Forskere Opfordrede Til Øjeblikkelig Handling
Sikkerhedsfirmaer anbefalede berørte brugere straks at fjerne kompromitterede pakkeversioner og udskifte eksponerede legitimationsoplysninger.
Forskere anbefalede også, at organisationer:
- Gennemgår Composer-afhængigheder
- Kontrollerer CI/CD-systemer
- Udskifter cloud-legitimation
- Overvåger mistænkelig udgående trafik
- Scanner systemer for persistensmekanismer
- Verificerer repository-integritet
Eksperter advarede om, at stjålne legitimationsoplysninger kan fortsætte med at skabe risici længe efter den oprindelige infektion.
Konklusion
Laravel-malwareangrebet viser, hvordan cyberkriminelle fortsætter med at udnytte betroede open source-økosystemer til at distribuere malware, der stjæler legitimationsoplysninger. Ved at kapre legitime pakkeversioner lykkedes det angriberne at skjule ondsindede payloads i bredt anvendte Composer-afhængigheder.
Forskere forventer, at software supply chain-angreb rettet mod udviklere og cloudinfrastruktur fortsætter med at stige, efterhånden som trusselsaktører fokuserer på værdifulde legitimationsoplysninger og CI/CD-miljøer.
0 svar til “Laravel-malwareangreb kompromitterer populære pakker”