Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
L’attacco supply chain Laravel Lang ha compromesso pacchetti Laravel Lang attraverso la manipolazione dei tag GitHub, reindirizzati a commit malevoli da fork controllati dagli aggressori. In circa 15 minuti sono state compromesse fino a 700 versioni distribuite via Composer. Il payload ha installato un malware PHP capace di sottrarre credenziali cloud, token CI/CD e dati sensibili, inclusi wallet crypto.
Ricercatori di StepSecurity , Aikido Security e Socket hanno segnalato un insolito attacco alla catena di fornitura che ha colpito i popolari pacchetti di localizzazione Laravel Lang. Questa volta, gli aggressori non hanno pubblicato versioni dannose né modificato il codice nei repository ufficiali. Hanno invece modificato i tag di GitHub, sostituendoli con commit provenienti da fork da loro controllati.
L’attacco ha interessato i pacchetti laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes e probabilmente laravel-lang/actions. Si tratta di librerie Laravel di terze parti non associate al progetto ufficiale.
Secondo i ricercatori di Aikido, gli hacker hanno compromesso 233 versioni di pacchetti, mentre gli analisti di Socket segnalano circa 700 tag interessati. L’intera operazione malevola è durata circa 15 minuti: le prime modifiche sono apparse la sera del 22 maggio e a mezzanotte tutti e quattro i repository erano stati compromessi.
La caratteristica principale di questa campagna è stata lo sfruttamento delle meccaniche di GitHub, che consentono ai tag di fare riferimento a commit provenienti da fork dello stesso repository. Di conseguenza, Composer ha caricato codice dannoso mascherato da release legittime di Laravel Lang.
Come spiegano gli specialisti di StepSecurity, l’attaccante ha “riassegnato” i tag esistenti a commit dannosi anziché creare nuove versioni dei pacchetti. In tutti i repository, i ricercatori hanno riscontrato lo stesso insieme di modifiche, lo stesso codice dannoso e le stesse credenziali dell’autore del commit. Gli specialisti ritengono che ciò indichi l’opera di un singolo attaccante, che probabilmente ha ottenuto l’accesso a un account con i permessi per pubblicare tag nell’intera organizzazione Laravel Lang.
Il payload dannoso ha aggiunto il file src/helpers.php ai pacchetti, caricato automaticamente tramite Composer. Questo file ha agito da dropper e ha scaricato il malware di secondo stadio dal dominio flipboxstudio[.]info.
Il payload finale era un malware multipiattaforma PHP per il furto di dati, compatibile con Windows, Linux e macOS. Il malware prendeva di mira le credenziali cloud di AWS, GCP e Azure, i segreti di Kubernetes, i token di HashiCorp Vault, le chiavi SSH, le configurazioni di Docker e Helm, i dati di sistema CI/CD, i file .env, i JWT, i token di GitHub, Slack e Stripe e le frasi di recupero dei portafogli di criptovalute.
Il malware raccoglieva anche dati da browser, gestori di password, configurazioni VPN e credenziali degli sviluppatori. Venivano utilizzate espressioni regolari (regex) per scansionare file e variabili d’ambiente al fine di trovare informazioni riservate.
È importante sottolineare che l’attacco era ancora più pericoloso sui dispositivi Windows. Uno script PHP estraeva un file .exe incorporato e lo eseguiva da una directory temporanea. L’analisi ha rivelato che questo componente, denominato DebugElevator, attaccava Chrome, Brave ed Edge, estraendo le chiavi di crittografia associata all’applicazione (App-Bound Encryption) per decrittografare le password memorizzate.
I ricercatori hanno inoltre trovato il nome utente Mero e una menzione di Claude nel percorso PDB, il che potrebbe indicare l’utilizzo dell’intelligenza artificiale nello sviluppo del componente Windows del malware.
A seguito della segnalazione dei ricercatori, l’amministrazione di Packagist ha rimosso le versioni dannose e ha temporaneamente nascosto i pacchetti interessati per impedire ulteriori installazioni e la diffusione del malware.
Gli esperti raccomandano a tutti gli sviluppatori che hanno utilizzato Laravel Lang di verificare immediatamente le versioni dei pacchetti installati, di modificare le chiavi e i token potenzialmente compromessi e di esaminare i log alla ricerca di connessioni al dominio flipboxstudio[.]info.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]