Атака на Laravel-Lang: вредоносные теги и кража учетных данных
22 мая 2026 года была обнаружена атака на цепочку поставок, нацеленная на пакеты Laravel-Lang. В ходе инцидента в три популярных репозитория был внедрен код для кражи учетных данных. Злоумышленник использовал нестандартный и технически изощренный подход: вредоносные теги версий были развернуты так, чтобы указывать на форк с опасным кодом, при этом сами официальные репозитории не содержали соответствующей фиксации.
Метод атакующего опирался на функциональность GitHub, позволяющую связывать теги версий с различными коммитами. Это создало условия для скрытого выполнения вредоносного кода через функцию автозагрузчика Composer, что делало атаку особенно опасной для разработчиков, использующих пакет в своих проектах.
Как был реализован вредоносный механизм
Злоумышленник внедрил файл-дропер src/helpers.php, замаскированный под локализационный помощник. Внутри находился блок кода, который запускался при заражении, определял среду хоста и обеспечивал активацию полезной нагрузки только один раз на системе. Для этого создавался маркерный файл, предотвращающий повторный запуск.
Домeн управления и контроля (C2) был скрыт внутри целочисленного массива, что заметно усложняло обнаружение. Впоследствии он разрешался в flipboxstudio.info. Дропер загружал полезную нагрузку с этого домена с помощью file_get_contents, при этом проверка SSL была отключена.
Поведение вредоносного кода на разных платформах
Способ выполнения полезной нагрузки зависел от операционной системы:
- в Windows запускался файл
.vbs; - в macOS и Linux полезная нагрузка выполнялась в фоновом режиме.
Сама полезная нагрузка представляла собой масштабный PHP-стиллер учетных данных объемом примерно 5900 строк. Код был структурирован в пятнадцать специализированных модулей, каждый из которых отвечал за похищение определенного типа конфиденциальной информации.
Какие данные были под угрозой
После сбора информации вредоносное ПО шифровало найденные данные с использованием AES-256 и передавало их на тот же домен C2. Затем оно стирало себя, чтобы минимизировать следы атаки и затруднить анализ инцидента.
Похищенные данные включали широкий спектр чувствительной информации:
- ключи доступа и токены AWS;
- учетные данные приложений GCP;
- различные токены провайдеров услуг;
- закрытые ключи SSH;
- конфигурационные файлы, включая
.git-credentialsи.env; - сохраненные пароли из браузеров на базе Chromium и Firefox;
- данные учетных записей из менеджеров паролей;
- файлы криптографических кошельков;
- записи из Диспетчера учетных данных Windows;
- конфигурационные данные для различных VPN.
Почему этот инцидент важен
Этот инцидент подчеркивает эволюцию тактик, которые используют злоумышленники в уязвимостях цепочки поставок. Особую угрозу здесь представляет то, что атака была нацелена на пакеты программного обеспечения, на которые разработчики регулярно полагаются и которые часто интегрируются в проекты без дополнительной проверки.
Оперативное информирование таких платформ, как Packagist, позволило быстро приступить к устранению последствий. В частности, были удалены вредоносные версии, чтобы предотвратить дальнейшие установки и возможную эксплуатацию.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
