Auf den Punkt: Angreifer kompromittierten Laravel Lang-Pakete durch Manipulation von GitHub-Tags und verbreiteten Malware, die Zugangsdaten, Kryptoschlüssel, Cloud-Credentials und Browser-Daten stiehlt.
Eine Attacke auf die Laravel Lang-Lokalisierungspakete hat Entwickler massiver Gefahr ausgesetzt. Angreifer manipulierten GitHub-Tags, um über Composer schädlichen Code zu verteilen, der Zugangsdaten stiehlt.
Sicherheitsfirmen wie StepSecurity, Aikido Security und Socket haben vor einer durchdachten Supply-Chain-Attacke gewarnt. Die Angreifer nutzten dabei eine ungewöhnliche Taktik: Statt neue böswillige Versionen zu veröffentlichen, manipulierten sie vorhandene GitHub-Tags in vier Laravel Lang-Repositories – laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes und möglicherweise laravel-lang/actions.
Die Angreifer änderten Hunderte historische Tags ab, um auf schädliche Commits in Attacker-kontrollierten Forks zu verweisen. Dabei wurden etwa 233 Versionen in drei Repositories und möglicherweise bis zu 700 historische Versionen insgesamt kompromittiert. Entwickler, die die Pakete via Composer installierten, erhielten unwissentlich Malware-Code statt legitimer Releases.
Das eingeschleuste Schadprogramm versteckte sich in einer Datei namens ’src/helpers.php‘, die automatisch von Composer geladen wurde. Dieses Dropper-Programm lud einen weiteren Payload vom Command-and-Control-Server flipboxstudio[.]info herunter.
Das nachgeladene PHP-Programm ist ein ausgefeilter, plattformübergreifender Credential-Stealer für Linux, macOS und Windows. Er stiehlt Cloud-Anmeldedaten, Kubernetes-Secrets, Vault-Token, Git-Zugangsdaten, CI/CD-Secrets, SSH-Schlüssel, Browser-Daten, Kryptowährungs-Wallets, Passwort-Manager und .env-Dateien. Mittels regulärer Ausdrücke werden AWS-Schlüssel, GitHub-Token, Slack-Secrets, Stripe-API-Keys, Datenbank-Zugangsdaten und Kryptowährungs-Recovery-Phrasen extrahiert.
Auf Windows-Systemen entpackt die Malware zusätzlich ein verstecktes Programm namens ‚DebugElevator‘, das Browser-Daten und Verschlüsselungsschlüssel von Chrome, Brave und Edge ausspäht.