Forskare avslöjade en omfattande Laravel-malwareattack efter att hotaktörer komprometterat populära Laravel Lang-paket som används i PHP-utvecklingsmiljöer. Angriparna manipulerade betrodda paketversioner för att distribuera skadlig kod som stjäl inloggningsuppgifter genom Composer-installationer.
Säkerhetsexperter varnade för att attacken riktade sig mot utvecklare, CI/CD-pipelines, molninloggningsuppgifter och produktionsinfrastruktur. Händelsen belyser också det växande hotet från attacker mot mjukvaruförsörjningskedjan riktade mot open source-ekosystem.
Angripare Komprometterade Laravel Lang-Paket
Forskare upptäckte skadliga ändringar som påverkade flera Laravel Lang-arkiv som används brett för lokaliseringsstöd i Laravel-applikationer.
De komprometterade arkiven inkluderade:
- laravel-lang/lang
- laravel-lang/http-statuses
- laravel-lang/attributes
- laravel-lang/actions
Utredare uppgav att angriparna modifierade hundratals paketversioner genom skadlig manipulation av GitHub-taggar. Forskare varnade för att utvecklare kan ha installerat komprometterade paket utan att märka misstänkt beteende under vanliga beroendeuppdateringar.
Även om paketen inte är en del av det officiella Laravel-ramverket används de fortfarande brett inom PHP-ekosystemet.
Laravel-Malwareattacken Använde Betrodda Paketversioner
Forskare förklarade att angriparna undvek att publicera uppenbart skadliga nya versioner. I stället omdirigerade de befintliga GitHub-taggar till skadliga commits lagrade i angriparkontrollerade forks.
Den skadliga nyttolasten introducerade dolda PHP-filer som kördes automatiskt genom Composers autoload-funktionalitet. Eftersom Laravel-applikationer laddar Composer-beroenden vid uppstart aktiverades den skadliga koden direkt efter installationen.
Säkerhetsforskare varnade för att denna teknik gör upptäckt betydligt svårare eftersom paketnamn och versionsnummer ser legitima ut.
Skadlig Kod Riktade In Sig På Utvecklares Inloggningsuppgifter
Laravel-malwareattacken fokuserade kraftigt på att stjäla känsliga inloggningsuppgifter för utvecklare och infrastruktur.
Forskare uppgav att den skadliga koden försökte samla in:
- Inloggningsuppgifter för molntjänster
- SSH-nycklar
- GitHub- och GitLab-token
- Kubernetes-konfigurationer
- Docker-inloggningsuppgifter
- VPN-filer
- Kryptoplånboksdata
- Lösenord lagrade i webbläsare
- Hemligheter i miljökonfigurationer
Den skadliga koden stödde enligt uppgifter Windows-, Linux- och macOS-system. Forskare varnade också för att angriparna krypterade stulen information innan den skickades till fjärrstyrd infrastruktur.
Säkerhetsexperter anser att operationen syftade till att kompromettera utvecklingspipelines och molnmiljöer för ytterligare attacker.
Attacker Mot Försörjningskedjan Fortsätter Att Öka
Forskare varnade för att attacker mot mjukvaruförsörjningskedjan fortsätter att öka inom open source-ekosystem. Angripare riktar sig allt oftare mot betrodda arkiv eftersom komprometterade beroenden snabbt kan spridas genom utvecklingsmiljöer och automatiserade distributionssystem.
Laravel-malwareattacken följer flera nyligen inträffade incidenter som involverar skadliga npm-, PyPI- och Composer-paket utformade för att stjäla inloggningsuppgifter eller injicera bakdörrar i produktionsmiljöer.
Säkerhetsexperter varnade för att utvecklare och organisationer måste övervaka beroendekedjor noggrannare eftersom angripare fortsätter missbruka betrodda plattformar för mjukvarudistribution.
Forskare Uppmanade Till Omedelbara Åtgärder
Säkerhetsföretag rekommenderade drabbade användare att omedelbart ta bort komprometterade paketversioner och byta exponerade inloggningsuppgifter.
Forskare rekommenderade också att organisationer:
- Granskar Composer-beroenden
- Kontrollerar CI/CD-system
- Byter molninloggningsuppgifter
- Övervakar misstänkt utgående trafik
- Skannar system efter persistensmekanismer
- Verifierar arkivens integritet
Experter varnade för att stulna inloggningsuppgifter kan fortsätta skapa risker långt efter den första infektionen.
Slutsats
Laravel-malwareattacken visar hur cyberkriminella fortsätter att utnyttja betrodda open source-ekosystem för att distribuera skadlig kod som stjäl inloggningsuppgifter. Genom att kapa legitima paketversioner lyckades angriparna dölja skadliga nyttolaster i brett använda Composer-beroenden.
Forskare förväntar sig att attacker mot mjukvaruförsörjningskedjan riktade mot utvecklare och molninfrastruktur fortsätter att öka i takt med att hotaktörer fokuserar på högvärdiga inloggningsuppgifter och CI/CD-miljöer.
0 svar till ”Laravel-malwareattack komprometterar populära paket”