Laravel-Lang組織によって保守されている4つの人気のあるComposerパッケージが、ハッカーがすべてのGitタグを書き直した後、マルウェアで汚染されたとセキュリティ研究者らが警告しています。
影響を受けたパッケージは、laravel-lang/lang、laravel-lang/http-statuses、laravel-lang/attributes、およびlaravel-lang/actionsで、Laravelアプリケーションで使用されるサードパーティのローカライゼーションライブラリです。
Laravel-Langのサプライチェーン攻撃は5月22日に開始されました。15分間のウィンドウ内に、攻撃者は3つのパッケージにわたって悪意のあるバージョンタグを公開し、StepSecurityによるとのことです。5月23日の00:00 UTCまでに、4つのパッケージすべてが汚染されていました。
「新しく公開されたタグのタイミングとパターンは、単一の悪意のあるパッケージバージョンではなく、Laravel Lang組織のリリースプロセス全体の侵害を示唆しています」とSocketは述べています。
サプライチェーンセキュリティ企業によると、悪意のあるタグは4つのパッケージの700以上の過去バージョンにわたって公開されており、それらの更新をフェッチしたり新規インストールしたりしたすべてのアプリケーションに影響を与える可能性があります。
「特に狡猾な点は、悪意のあるコードが公式リポジトリにまったくコミットされていないということです。GitHubではバージョンタグが同じリポジトリのフォークからのコミットを指すことができます。攻撃者はこれを利用して、自分たちが管理する悪意のあるフォーク内のコミットを指すタグを作成しました」とAikido Securityは説明しています。
悪意のあるバージョンタグには、src/helpers.phpという名前のファイルが含まれており、Laravelローカライゼーションヘルパーを装っていました。このコードはマシンをフィンガープリントし、コマンド・アンド・コントロール(C&C)ドメインflipboxstudio[.]infoに接続して、PHP認証情報スティーラーをフェッチし、バックグラウンドで実行します。
マルウェアは、クラウドキーとトークン(AWS、GCP、Azureを含む)、DockerおよびKubernetesの構成、HashiCorp Vaultトークン、Helmリポジトリの構成、SSHプライベートキー、開発者認証情報、認証トークン、シェル履歴ファイル、および認証情報保存ファイルを収集するように設計されていました。
さらに、マルウェアはブラウザとパスワードマネージャーに保存された認証情報、暗号資産ウォレットと拡張機能、様々な通信プラットフォーム、VPN構成ファイル、およびWindows、Linux、macOSシステム全体の様々な高価値の構成および認証情報ファイルをターゲットにする可能性があります。
組織とユーザーの両方に対して、影響を受けたパッケージをブロックし、それらをインストールしたシステムを潜在的に侵害されたものとして扱うようアドバイスされています。また、クリーンなバージョンの入手可能性を確認して、それらをインストールする必要があります。
「ペイロードがクラウドメタデータ、Kubernetesトークン、Vault、CI/CDシステム、ブラウザデータ、パスワードマネージャー、ソース管理認証情報、VPN構成、SSHキー、.envファイル、およびローカルアプリケーション構成をターゲットにしているため、影響を受けたチームは、侵害されたパッケージをインストールまたは実行したホスト、コンテナ、CIランナー、または開発者マシンで利用可能なシークレットをすべてローテーションする必要があります」とSocketは述べています。
翻訳元: https://www.securityweek.com/laravel-lang-packages-poisoned-for-malware-delivery/
