Laravel Langローカライゼーションパッケージを標的とした供給チェーン攻撃により、攻撃者がGitHubバージョンタグを悪用してComposerパッケージを通じて悪意あるコードを配布した後、開発者は高度な認証情報盗聴マルウェアキャンペーンにさらされました。
セキュリティ企業のStepSecurity、Aikido Security、およびSocketは金曜日に侵害について警告を発し、攻撃者が完全に新しい悪意あるバージョンを公開するのではなく、Laravel Lang組織が管理する4つのリポジトリ全体でGitHubタグを上書きしたと警告しました。
影響を受けたパッケージには、laravel-lang/lang、laravel-lang/http-statuses、laravel-lang/attributes、およびlaravel-lang/actionsが含まれます。Laravel Langパッケージはサードパーティのローカライゼーションパッケージであり、公式Laravelプロジェクトの一部ではありません。
Aikidoによると、攻撃者は3つのリポジトリ全体で233バージョンを侵害しましたが、Socketは約700の過去のバージョンが影響を受けた可能性があると述べています。
この攻撃が際立つ理由は、実際のプロジェクトのソースコードが悪意あるコードを含めるように修正されたのではなく、攻撃者が同じリポジトリのフォーク内のコミットをポイントするタグを許可するGitHub機能を悪用したことです。
「新しい悪意あるバージョンを公開するのではなく、攻撃者は各リポジトリの既存のすべてのgitタグを上書きして新しい悪意あるコミットをポイントするようにしました」とStepSecurityは説明しています。
「書き換えはUTC22:32にlaravel-lang/lang(502個のタグを持つ主力Laravel翻訳パッケージ)に対して開始され、UTC00:00までにlaravel-lang/actionsに対して完了しました。4つすべてのリポジトリは同じ偽造の著者ID、同じ修正ファイル、および同じペイロード動作を共有しており、これはほぼ確実にorg全体のプッシュアクセスを備えた1つの侵害された認証情報を使用する1つのアクターの動作です。」
これにより、攻撃者はプロジェクトの正当なリリースタグのように見えるものを公開できるようになりました。これは実際には攻撃者が制御するリポジトリのフォークに保存された悪意あるコミットにつながりました。
開発者がComposer経由でパッケージをインストールするときに、正当なLaravel Langリリースをインストールしているように見えながら、悪意あるコードをダウンロードします。
認証情報盗聴者を実行
研究者は、悪意あるリリースが「src/helpers.php」という名前の悪意あるファイルを導入し、Composerによって自動的にロードされたことを発見しました。
注入されたコードはドロッパーとして機能し、攻撃者のコマンドおよび制御サーバー(flipboxstudio[.]info)から2番目のペイロードをダウンロードしました。
ダウンロードされたPHPペイロード[VirusTotal]は、Linux、macOS、Windows用の大規模なクロスプラットフォーム認証情報盗聴者であり、クラウド認証情報、Kubernetesシークレット、Vaultトークン、Git認証情報、CI/CDシークレット、SSHキー、ブラウザデータ、暗号通貨ウォレット、パスワードマネージャー、VPN構成、およびローカル`.env`構成ファイルを収集します。
マルウェアには、ファイルおよび環境変数からAWSキー、GitHubトークン、Slackトークン、Stripeシークレット、データベース認証情報、JWT、SSH秘密キー、および暗号通貨リカバリーフレーズを抽出するために使用される正規表現パターンも含まれています。
Windowsシステムでは、PHPペイロードはファイル内に埋め込まれたbase64エンコードされた実行ファイル[VirusTotal]も抽出し、これを%TEMP%フォルダーにランダムな.exeファイル名として書き込み、起動します。
BleepingComputerによるWindowsinfostealerの分析では、これは「DebugElevator」という名前で、Chrome、Brave、およびEdgeをターゲットにするように設計されており、保存されているブラウザ認証情報を復号化するために必要なApp-Bound Encryptionキーを抽出します。
埋め込まれたPDBパスはWindowsアカウント名「Mero」を参照し、「claude」も含まれており、AIがWindowsマルウェアの開発を支援するために使用された可能性があることを示唆しています。
C:\Users\Mero\OneDrive\Desktop\stuff\claude\Chromium-DebugElevator\x64\Release\DebugChromium.pdb研究者は、機密データが抽出されると、マルウェアはそれを暗号化し、C2サーバーに送り返すと述べています。
Aikidoは、事件をPackagistに報告したと述べており、Packagegistは悪意あるバージョンを削除し、追加のインストールを防ぐために影響を受けたパッケージを一時的にリストから削除することで迅速に対応しました。
Laravel Langパッケージを使用している開発者は、インストールされているパッケージバージョンを確認し、公開された認証情報をローテーションし、システムを侵害の兆候について検査し、可能であればfliboxstudio[.]infoへの過去のアウトバウンド接続を確認することをお勧めします。
検証ギャップ:自動ペネトレーションテストが答えるのは1つの質問です。6つ必要です。
自動ペネトレーションテストツールは実際の価値を提供しますが、攻撃者がネットワークを通じて移動できるかという1つの質問に答えるために構築されました。コントロールが脅威をブロックするか、検出ルールが機能するか、またはクラウド構成が保持されるかをテストするために構築されていません。
このガイドは、実際に検証する必要がある6つのサーフェスをカバーしています。
