Vier veelgebruikte Composer-pakketten van de Laravel-Lang organisatie zijn besmet met malware nadat hackers alle Git-tags van deze pakketten herschreven, waarschuwen beveiligingsonderzoekers. Het gaat om de pakketten laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes en laravel-lang/actions, die fungeren als derde partij lokalisatiebibliotheken voor Laravel-applicaties. De supply chain aanval op Laravel-Lang begon op 22 mei. Binnen een tijdsbestek van vijftien minuten publiceerden de aanvallers kwaadaardige versietags op drie van de pakketten, aldus StepSecurity. Rond middernacht UTC op 23 mei waren alle vier de pakketten besmet.

Volgens Socket wijzen het tijdstip en het patroon van de nieuwe tags op een bredere compromittering van het releaseproces van de Laravel-Lang organisatie, in plaats van een enkele kwaadaardige pakketversie. De kwaadaardige tags werden verspreid over meer dan 700 historische versies van de vier pakketten, wat mogelijk alle applicaties treft die updates hiervan hebben opgehaald of ze vers hebben geïnstalleerd. Wat deze aanval bijzonder sluw maakt, is dat de kwaadaardige code nooit in de officiële repositories is gecommit. GitHub staat toe dat versietags verwijzen naar commits van een fork van dezelfde repository. De aanvallers maakten hier misbruik van door tags te creëren die verwezen naar commits in een kwaadaardige fork die zij beheerden, legt Aikido Security uit.

De kwaadaardige versietags bevatten een bestand met de naam src/helpers.php, dat zich voordeed als een Laravel-lokalisatiehelper. Deze code verzamelt informatie over het systeem en maakt verbinding met het command-and-control domein flipboxstudio[.]info om een PHP-credential stealer te downloaden en op de achtergrond uit te voeren. De malware is ontworpen om cloud-sleutels en tokens te stelen, waaronder AWS, GCP en Azure, evenals Docker- en Kubernetes-configuraties, HashiCorp Vault-tokens, Helm-repositorygegevens, SSH private keys, ontwikkelaarscredentials, authenticatietokens, shellgeschiedenisbestanden en andere credential-bestanden. Daarnaast richt de malware zich op credentials in browsers en wachtwoordmanagers, cryptocurrency wallets en extensies, diverse communicatieplatformen, VPN-configuraties en andere waardevolle configuratie- en credentialbestanden op Windows-, Linux- en macOS-systemen.

Organisaties en gebruikers worden geadviseerd om de getroffen pakketten te blokkeren en systemen die deze pakketten hebben geïnstalleerd als potentieel gecompromitteerd te behandelen. Tevens wordt aangeraden om te controleren of schone versies beschikbaar zijn en deze te installeren. Omdat de malware zich richt op cloud metadata, Kubernetes tokens, Vault, CI/CD-systemen, browserdata, wachtwoordmanagers, source control credentials, VPN-configuraties, SSH-sleutels, .env-bestanden en lokale applicatieconfiguraties, moeten getroffen teams alle geheimen die beschikbaar zijn voor hosts, containers, CI-runners of ontwikkelaarsmachines die de besmette pakketten hebben geïnstalleerd of uitgevoerd, roteren, aldus Socket.