Laravel Lang 软件包遭劫持，被用于部署凭证窃取恶意软件

针对 Laravel Lang 本地化软件包的供应链攻击使开发人员暴露于复杂的凭证窃取恶意软件活动中。攻击者滥用了 GitHub 版本标签功能，通过 Composer 软件包分发恶意代码。
安全公司 StepSecurity、Aikido Security 和 Socket 于周五发出警告，指出攻击者重写了 Laravel Lang 组织维护的四个存储库中的 GitHub 标签，而不是发布全新的恶意版本。
受影响的软件包包括 laravel-lang/lang、laravel-lang/http-statuses、laravel-lang/attributes，可能还包括 laravel-lang/actions。Laravel Lang 软件包属于第三方本地化软件包，并非官方 Laravel 项目的一部分。
据 Aikido 称，攻击者在三个存储库中篡改了 233 个版本，而 Socket 表示大约有 700 个历史版本可能受到影响。
此次攻击的突出之处在于，项目的实际源代码并未被修改以包含恶意代码，而是攻击者滥用了一项 GitHub 功能，该功能允许标签指向同一存储库分支中的提交。
StepSecurity 解释道：“攻击者没有发布新的恶意版本，而是重写了每个存储库中的所有现有 git 标签，使其指向一个新的恶意提交。”
“重写操作于 UTC 时间 22:32 针对 laravel-lang/lang（旗舰 Laravel 翻译软件包，包含 502 个标签）开始，并于 UTC 时间 00:00 针对 laravel-lang/actions 结束。所有四个存储库共享相同的虚假作者身份、相同的修改文件和相同的负载行为，这几乎可以确定是同一个攻击者利用具有组织范围推送权限的受损凭证所为。”
这使得攻击者能够发布看似项目合法发行版的标签，实际上这些标签指向存储在攻击者控制的存储库分支中的恶意提交。
当开发人员通过 Composer 安装该软件包时，它会下载恶意代码，而表面上看起来像是在安装合法的 Laravel Lang 发行版。

执行凭证窃取程序

研究人员发现，恶意发行版引入了一个名为 src/helpers.php 的恶意文件，该文件会被 Composer 自动加载。
注入的代码充当了下载器（dropper），从攻击者的命令与控制（C2）服务器 flipboxstudio[.]info 下载了第二个负载。
下载的 PHP 负载是一个大型跨平台凭证窃取程序，适用于 Linux、macOS 和 Windows，可收集云凭证、Kubernetes 密钥、Vault 令牌、Git 凭证、CI/CD 密钥、SSH 密钥、浏览器数据、加密货币钱包、密码管理器、VPN 配置和本地 .env 配置文件。
该恶意软件还包含正则表达式模式，用于从文件和环境变量中提取 AWS 密钥、GitHub 令牌、Slack 令牌、Stripe 密钥、数据库凭证、JWT、SSH 私钥和加密货币恢复短语。
在 Windows 系统上，PHP 负载还会提取嵌入在文件中的 base64 编码可执行文件，将其以随机 .exe 文件名写入 %TEMP% 文件夹，然后启动。
BleepingComputer 对 Windows 信息窃取程序的分析显示，它名为 DebugElevator，旨在针对 Chrome、Brave 和 Edge 浏览器，并提取解密存储的浏览器凭证所需的 App-Bound 加密密钥。
嵌入的 PDB 路径还引用了 Windows 帐户名 Mero 并包含 claude，这可能表明 AI 被用于协助开发 Windows 恶意软件。
研究人员表示，一旦提取了敏感数据，恶意软件就会对其进行加密并发送回 C2 服务器。
Aikido 表示他们已向 Packagist 报告了此事件，Packagist 迅速做出反应，删除了恶意版本并暂时下架了受影响的软件包，以防止进一步安装。
建议正在使用 Laravel Lang 软件包的开发人员审查已安装的软件包版本，轮换已暴露的凭证，检查系统中是否存在入侵指标（IOCs），如果可能的话，检查是否有历史出站连接到 flipboxstudio[.]info。