Хакери използват GitHub тагове, за да разпространяват зловреден код и инфостийлър за Windows, Linux и macOS

Нова supply chain атака срещу екосистемата на PHP и Composer постави под риск разработчици и организации, използващи популярните Laravel Lang пакети за локализация. Според анализи на изследователи от StepSecurity, Aikido Security и Socket, атакуващите са компрометирали стотици версии на пакетите чрез злоупотреба с GitHub release тагове, без да публикуват нови подозрителни версии.

Инцидентът засяга пакетите:

• laravel-lang/lang
• laravel-lang/http-statuses
• laravel-lang/attributes
• вероятно и laravel-lang/actions

Важно е да се уточни, че Laravel Lang е външен проект и не е част от официалната екосистема на Laravel.

Атакуващите не променят кода – манипулират GitHub таговете

Това, което отличава кампанията, е необичайният подход за компрометиране на версиите. Вместо да публикуват нов зловреден пакет, нападателите са пренасочили съществуващите GitHub тагове към malicious commit-и, намиращи се във fork-нати хранилища под техен контрол.

По този начин разработчиците са инсталирали на пръв поглед легитимни версии чрез Composer, но реално са изтегляли компрометиран код.

Според изследователите:

• над 230 версии са потвърдено компрометирани;
• възможно е да са засегнати близо 700 исторически версии;
• атаката е извършена чрез един компрометиран акаунт с широки права върху организационните репозитории.

Зловредният код зарежда инфостийлър

Компрометираните версии добавят файл helpers.php, който автоматично се зарежда от Composer чрез autoload механизма.

Този файл действа като dropper и изтегля втори payload от външен command-and-control сървър.

След активиране malware-ът започва да събира огромен обем чувствителна информация, включително:

• AWS ключове;
• GitHub токени;
• Kubernetes secrets;
• Vault токени;
• SSH ключове;
• CI/CD credentials;
• Slack и Stripe токени;
• .env файлове;
• VPN конфигурации;
• крипто портфейли;
• browser cookies и credentials;
• recovery phrases за криптовалути.

Windows payload използва техника за кражба на browser encryption ключове

При Windows системи атаката става още по-опасна. PHP payload-ът извлича Base64-кодиран executable файл, който се записва в %TEMP% директорията и се стартира автоматично.

Анализът показва, че executable-ът, идентифициран като „DebugElevator“, е насочен към браузъри като:

• Google Chrome;
• Microsoft Edge;
• Brave.

Зловредният софтуер се опитва да извлече App-Bound Encryption ключове – механизъм, използван за защита на съхранени браузърни пароли и чувствителни данни.

Изследователите откриват и интересна следа в PDB пътя на malware-а, където фигурира директория с името „claude“, което поражда предположения, че генеративен ИИ може да е бил използван при разработката на Windows компонента.

Данните се криптират и изпращат към C2 инфраструктурата

След събирането на чувствителната информация malware-ът криптира данните и ги изпраща обратно към инфраструктурата на атакуващите.

Според специалистите това превръща атаката в изключително сериозна заплаха за:

• DevOps среди;
• cloud инфраструктури;
• CI/CD pipelines;
• enterprise development среди;
• организации, използващи автоматизирани deployment процеси.

Supply chain атаките срещу разработчици се ускоряват

Случаят е пореден пример за ескалиращата тенденция атакуващите да компрометират софтуерни вериги за доставки вместо директно да атакуват крайните организации.

През последните месеци се наблюдава рязко увеличение на:

• зловредни npm пакети;
• компрометирани GitHub Actions;
• подменени Composer библиотеки;
• атаки срещу CI/CD среди;
• злоупотреби с package managers.

Този тип операции са особено опасни, защото позволяват malware-ът да достигне директно до доверени development среди чрез напълно легитимни инструменти и процеси.

Какво трябва да направят разработчиците

Специалистите препоръчват организациите незабавно да:

• проверят използваните версии на Laravel Lang пакетите;
• ротират всички потенциално компрометирани credentials;
• анализират системите за indicators of compromise;
• проверят outbound connections към flipboxstudio[.]info;
• инспектират CI/CD логове и deployment pipelines;
• прегледат browser credentials и cloud access tokens.

Допълнително се препоръчва използването на:

• dependency signing;
• package verification;
• SBOM решения;
• monitoring на package integrity;
• behavior-based detection системи.

Ново ниво на риск за open-source екосистемата

Инцидентът показва колко уязвима остава open-source веригата за доставки, особено когато атакуващите комбинират компрометирани акаунти, GitHub функционалности и автоматизирани package management системи.

Все по-често киберпрестъпните групи избягват шумните атаки и вместо това се фокусират върху доверени developer инструменти, които могат незабелязано да отворят достъп до хиляди среди едновременно.