Laravel-Lang PHP kompromittálódása
Az Aikido és a Socket kutatása szerint nagyszabású supply chain támadás érte a Laravel-Lang PHP csomagokat, több mint 200–700 korábbi package-verziót kompromittáltak úgy, hogy a támadók rosszindulatú Git tag-eket irányítottak egy saját forkra. A hivatalos repositoryk kódját nem módosították közvetlenül, ezért a fertőzés elsőre legitim release-nek tűnhetett.
A kompromittált csomagok – köztük a laravel-lang/lang, http-statuses, attributes és actions – automatikusan futtattak egy src/helpers.php backdoort a Composer autoload mechanizmusán keresztül. A payload cloud credentialöket, SSH kulcsokat, GitHub tokeneket, CI/CD adatokat, böngészős jelszavakat és kriptotárca-adatokat lopott Linux, Windows és macOS rendszerekről.
A malware a flipboxstudio[.]info infrastruktúráról töltött le második fázisú payloadot, miközben SSL-verifikációt is kikapcsolt a letöltés során. A kutatók szerint a kampány különösen veszélyes, mert CI/CD pipeline-okat és fejlesztői környezeteket célozott, így további supply chain kompromittálásokhoz vezethetett.
A szakértők az érintett rendszerek teljes újratelepítését, valamint minden cloud-, SSH- és API-hitelesítő adat azonnali rotációját javasolják.
