Tiekimo grandinės ataka, nukreipta į „Laravel Lang“ lokalizavimo paketus, sukėlė kūrėjams sudėtingą kredencialų vagystės kenkėjiškų programų kampaniją, kai užpuolikai piktnaudžiavo „GitHub“ versijos žymomis, kad platintų kenkėjišką kodą per „Composer“ paketus.
Apsaugos įmonės „StepSecurity“, „Aikido Security“ ir „Socket“ penktadienį perspėjo apie kompromisą ir perspėjo, kad užpuolikai perrašė „GitHub“ žymas keturiose „Laravel Lang“ organizacijos tvarkomose saugyklose, o ne paskelbė visiškai naujas kenkėjiškas versijas.
Paveikti paketai apima laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes ir galbūt laravel-lang/actions. Laravel Lang paketai yra trečiųjų šalių lokalizavimo paketai ir nėra oficialaus Laravel projekto dalis.
Pasak Aikido, užpuolikai sukompromitavo 233 versijas trijose saugyklose, o Socket teigė, kad galėjo būti paveikta maždaug 700 istorinių versijų.
Išpuolis išsiskyrė tuo, kad tikrasis projekto šaltinio kodas nebuvo pakeistas, kad būtų įtrauktas kenkėjiškas kodas, o užpuolikai piktnaudžiavo „GitHub“ funkcija, leidžiančia žymoms nukreipti į įsipareigojimus tos pačios saugyklos šakutėse.
„Užuot paskelbęs naują kenkėjišką versiją, užpuolikas perrašė kiekvieną esamą git žymą kiekvienoje saugykloje, kad nurodytų naują kenkėjišką įsipareigojimą“, – paaiškino StepSecurity.
„Perrašymas prasidėjo 22:32 UTC prieš laravel-lang/lang (pavyzdinis Laravel vertimų paketas su 502 žymomis) ir baigtas 00:00 UTC prieš laravel-lang/actions. Visos keturios saugyklos turi tą pačią netikrą autoriaus tapatybę, tuos pačius modifikuotus failus ir beveik tą pačią naudingąją apkrovą, kuri neabejotinai daro juos vieno comproctor'o darbą. tiesioginė prieiga“.
Tai leido užpuolikams paskelbti, atrodo, teisėtas projekto išleidimo žymas, dėl kurių iš tikrųjų buvo vykdomi kenkėjiški įsipareigojimai, saugomi užpuoliko valdomoje saugyklos šakoje.
Kai kūrėjai įdiegė paketą naudodami „Composer“, jis atsisiųsdavo kenkėjišką kodą, kol atrodė, kad įdiegs teisėtus „Laravel Lang“ leidimus.
Vykdo kredencialų vagystę
Tyrėjai išsiaiškino, kad kenkėjiškos versijos įtraukė kenkėjišką failą pavadinimu „src/helpers.php“, kurį automatiškai įkėlė „Composer“.
Įvestas kodas veikė kaip lašintuvas, kuris atsisiuntė antrą naudingą apkrovą iš užpuoliko komandų ir valdymo serverio adresu flipboxstudio(.)info.
Atsisiųsta PHP naudingoji apkrova (VirusTotal) buvo didelis kelių platformų kredencialų vagis, skirtas „Linux“, „MacOS“ ir „Windows“, renkantis debesies kredencialus, „Kubernetes“ paslaptis, „Vault“ prieigos raktus, „Git“ kredencialus, CI / CD paslaptis, SSH raktus, naršyklės duomenis, kriptovaliutų konfigūraciją.
Kenkėjiška programinė įranga taip pat turi reguliarių išraiškų šablonų, naudojamų išgauti AWS raktus, GitHub žetonus, Slack žetonus, Stripe paslaptis, duomenų bazės kredencialus, JWT, SSH privačius raktus ir kriptovaliutos atkūrimo frazes iš failų ir aplinkos kintamųjų.
Šaltinis: BleepingComputer
„Windows“ sistemose PHP apkrova taip pat ištraukia į failą įterptą „base64“ koduotą vykdomąjį failą (VirusTotal), kuris įrašomas į %TEMP% aplanką kaip atsitiktinis .exe failo pavadinimas ir tada paleidžiamas.
„BleepingComputer“ „Windows“ informacijos stealer analizė rodo, kad ji pavadinta „DebugElevator“ ir skirta naudoti „Chrome“, „Brave“ ir „Edge“ bei išgauti programėlės šifravimo raktus, reikalingus išsaugotiems naršyklės kredencialams iššifruoti.
Šaltinis: BleepingComputer
Įterptajame PBP kelyje taip pat nurodomas „Windows“ paskyros pavadinimas „Mero“ ir yra „claude“, galbūt nurodantis, kad dirbtinis intelektas buvo naudojamas kuriant „Windows“ kenkėjišką programą.
C:\Users\Mero\OneDrive\Desktop\stuff\claude\Chromium-DebugElevator\x64\Release\DebugChromium.pdb
Tyrėjai teigia, kad išskleidus neskelbtinus duomenis, kenkėjiška programa juos užšifruoja ir siunčia atgal į C2 serverį.
„Aikido“ teigia, kad apie incidentą pranešė „Packagist“, kuri greitai sureagavo pašalindama kenkėjiškas versijas ir laikinai pašalindama paveiktus paketus, kad būtų išvengta papildomų diegimų.
Kūrėjams, naudojantiems Laravel Lang paketus, patariama peržiūrėti įdiegtų paketų versijas, kaitalioti atskleistus kredencialus, patikrinti sistemas, ar nėra kompromiso požymių, ir, jei įmanoma, patikrinti, ar nėra istorinių išeinančių ryšių su flipboxstudio(.)info.
Automatiniai tikrinimo įrankiai suteikia tikrą vertę, tačiau jie buvo sukurti siekiant atsakyti į vieną klausimą: ar užpuolikas gali judėti tinkle? Jie nebuvo sukurti siekiant patikrinti, ar jūsų valdikliai blokuoja grėsmes, ar suveikia aptikimo taisyklės, ar galioja debesies konfigūracijos.
Šis vadovas apima 6 paviršius, kuriuos iš tikrųjų reikia patvirtinti.
Atsisiųskite dabar
