Forskere avdekket et omfattende Laravel-malwareangrep etter at trusselaktører kompromitterte populære Laravel Lang-pakker som brukes i PHP-utviklingsmiljøer. Angriperne manipulerte betrodde pakkeversjoner for å distribuere skadevare som stjeler legitimasjon gjennom Composer-installasjoner.
Sikkerhetseksperter advarte om at angrepet rettet seg mot utviklere, CI/CD-pipelines, skyløsninger og produksjonsinfrastruktur. Hendelsen fremhever også den voksende trusselen fra angrep på programvareforsyningskjeder rettet mot open source-økosystemer.
Angripere Kompromitterte Laravel Lang-Pakker
Forskere oppdaget ondsinnede endringer som påvirket flere Laravel Lang-repositorier som brukes mye til lokaliseringsstøtte i Laravel-applikasjoner.
De kompromitterte repositoriene inkluderte:
- laravel-lang/lang
- laravel-lang/http-statuses
- laravel-lang/attributes
- laravel-lang/actions
Etterforskere opplyste at angriperne modifiserte hundrevis av pakkeversjoner gjennom ondsinnet manipulering av GitHub-tagger. Forskere advarte om at utviklere kan ha installert kompromitterte pakker uten å merke mistenkelig aktivitet under vanlige avhengighetsoppdateringer.
Selv om pakkene ikke er en del av det offisielle Laravel-rammeverket, brukes de fortsatt bredt i PHP-økosystemet.
Laravel-Malwareangrepet Brukte Betrodde Pakkeversjoner
Forskere forklarte at angriperne unngikk å publisere åpenbart ondsinnede nye versjoner. I stedet omdirigerte de eksisterende GitHub-tagger til ondsinnede commits lagret i angriperkontrollerte forks.
Den ondsinnede nyttelasten introduserte skjulte PHP-filer som ble kjørt automatisk gjennom Composers autoload-funksjonalitet. Siden Laravel-applikasjoner laster Composer-avhengigheter ved oppstart, ble skadevaren aktivert umiddelbart etter installasjon.
Sikkerhetsforskere advarte om at denne teknikken gjør oppdagelse betydelig vanskeligere fordi pakkenavn og versjonsnumre fremstår som legitime.
Skadevaren Rettet Seg Mot Utvikleres Legitimasjon
Laravel-malwareangrepet fokuserte sterkt på å stjele sensitiv legitimasjon fra utviklere og infrastruktur.
Forskere opplyste at skadevaren forsøkte å samle inn:
- Legitimasjon til skytjenester
- SSH-nøkler
- GitHub- og GitLab-token
- Kubernetes-konfigurasjoner
- Docker-legitimasjon
- VPN-filer
- Kryptolommebokdata
- Passord lagret i nettlesere
- Hemmeligheter i miljøkonfigurasjoner
Skadevaren støttet angivelig Windows-, Linux- og macOS-systemer. Forskere advarte også om at angriperne krypterte stjålet informasjon før den ble sendt til ekstern infrastruktur.
Sikkerhetseksperter mener operasjonen hadde som mål å kompromittere utviklingspipelines og skymiljøer for ytterligere angrep.
Angrep På Forsyningskjeder Fortsetter Å Øke
Forskere advarte om at angrep på programvareforsyningskjeder fortsetter å øke i open source-økosystemer. Angripere retter seg stadig oftere mot betrodde repositorier fordi kompromitterte avhengigheter kan spre seg raskt gjennom utviklingsmiljøer og automatiserte distribusjonssystemer.
Laravel-malwareangrepet følger flere nylige hendelser som involverer ondsinnede npm-, PyPI- og Composer-pakker designet for å stjele legitimasjon eller injisere bakdører i produksjonsmiljøer.
Sikkerhetseksperter advarte om at utviklere og organisasjoner må overvåke avhengighetskjeder langt mer nøye etter hvert som angripere fortsetter å misbruke betrodde plattformer for programvaredistribusjon.
Forskere Oppfordret Til Umiddelbar Handling
Sikkerhetsselskaper anbefalte berørte brukere å fjerne kompromitterte pakkeversjoner umiddelbart og rotere eksponert legitimasjon.
Forskere anbefalte også at organisasjoner:
- Reviderer Composer-avhengigheter
- Gjennomgår CI/CD-systemer
- Roterer sky-legitimasjon
- Overvåker mistenkelig utgående trafikk
- Skanner systemer for persistensmekanismer
- Kontrollerer repository-integritet
Eksperter advarte om at stjålet legitimasjon kan fortsette å skape risiko lenge etter den første infeksjonen.
Konklusjon
Laravel-malwareangrepet viser hvordan cyberkriminelle fortsetter å utnytte betrodde open source-økosystemer for å distribuere skadevare som stjeler legitimasjon. Ved å kapre legitime pakkeversjoner klarte angriperne å skjule ondsinnede nyttelaster i mye brukte Composer-avhengigheter.
Forskere forventer at angrep på programvareforsyningskjeder rettet mot utviklere og skyinfrastruktur vil fortsette å øke etter hvert som trusselaktører fokuserer på verdifull legitimasjon og CI/CD-miljøer.
0 responses to “Laravel-malwareangrep kompromitterer populære pakker”