Laravel-Lang PHP-pakketten gecompromitteerd om cross-platform credential stealer te leveren

Cyberbeveiliging
Laravel-Lang PHP-pakketten gecompromitteerd om cross-platform credential stealer te leveren

Onderzoekers op het gebied van cyberbeveiliging hebben een nieuwe aanvalscampagne op de toeleveringsketen van software aangekondigd, die zich heeft gericht op meerdere PHP-pakketten van Laravel-Lang om een ​​alomvattend raamwerk voor het stelen van inloggegevens te leveren.

De getroffen pakketten omvatten –

  • laravel-lang/lang
  • laravel-lang/http-statuses
  • laravel-lang/attributen
  • laravel-lang/acties

“De timing en het patroon van de nieuw gepubliceerde tags wijzen op een breder compromis in het releaseproces van de Laravel Lang-organisatie, in plaats van op een enkele kwaadaardige pakketversie”, aldus Socket. “De tags werden snel achter elkaar gepubliceerd op 22 en 23 mei 2026, waarbij veel versies slechts enkele seconden na elkaar verschenen.”

Er zijn meer dan 700 versies geïdentificeerd die verband houden met deze pakketten, wat duidt op geautomatiseerde massatagging of herpublicatie. Het vermoeden bestaat dat de aanvaller erin is geslaagd toegang te krijgen tot inloggegevens op organisatieniveau, repository-automatisering of release-infrastructuur.

De kwaadaardige kernfunctionaliteit bevindt zich in een bestand met de naam “src/helpers.php” dat is ingebed in de versietags. Het is voornamelijk ontworpen om vingerafdrukken te maken van de geïnfecteerde host en contact op te nemen met een externe server (“flipboxstudio(.)info”) om een ​​op PHP gebaseerde platformonafhankelijke payload op te halen die op Windows, Linux en macOS draait.

Volgens Aikido Security levert de dropper een Visual Basic Script-launcher op Windows en voert deze uit via cscript. Op Linux en macOS voert het de stealer-payload uit via exec().

“Omdat dit bestand (‘src/helpers.php’) is geregistreerd in composer.json onder autoload.files, wordt de achterdeur automatisch uitgevoerd bij elk PHP-verzoek dat door de gecompromitteerde applicatie wordt afgehandeld”, legt Socket uit.

“Het script genereert een unieke marker per host (een MD5-hash die het mappad, de systeemarchitectuur en inode combineert) om ervoor te zorgen dat de payload slechts één keer per machine wordt geactiveerd. Dit voorkomt redundante uitvoeringen en zorgt ervoor dat de malware na de eerste uitvoering onopgemerkt blijft.”

De stealer is uitgerust om een ​​breed scala aan gegevens van gecompromitteerde systemen te verzamelen en deze naar dezelfde server te exfiltreren. Dit omvat –

  • IAM-rollen en instantie-identiteitsdocumenten door het opvragen van cloud-metadata-eindpunten
  • Standaardgegevens voor de Google Cloud-app
  • Microsoft Azure-toegangstokens en Service-Principal-profielen
  • Kubernetes Service Account-tokens en Helm-registerconfiguraties
  • Authenticatietokens voor DigitalOcean, Heroku, Vercel, Netlify, Railway en Fly.io
  • HashiCorp Vault-tokens
  • Tokens en configuraties van Jenkins, GitLab Runners, GitHub Actions, CircleCI, TravisCI en ArgoCD
  • Zaadzinnen en bestanden die zijn gekoppeld aan cryptocurrency-portefeuilles (Electrum, Exodus, Atomic, Ledger Live, Trezor, Wasabi en Sparrow) en extensies (MetaMask, Phantom, Trust Wallet, Ronin, Keplr, Solflare en Rabby)
  • Browsergeschiedenis, cookies en inloggegevens van Google Chrome, Microsoft Edge, Mozilla Firefox, Brave en Opera met behulp van een Base64-gecodeerd ingebed Windows-uitvoerbaar bestand dat de app-bound encryptie (ABE)-beveiligingen van Chromium omzeilt
  • Lokale kluizen en browserextensiegegevens voor 1Password, Bitwarden, LastPass, KeePass, Dashlane en NordPass
  • PuTTY/WinSCP opgeslagen sessies
  • Windows Credential Manager-dumps
  • WinSCP opgeslagen sessies
  • RDP-bestanden
  • Sessietokens die zijn gekoppeld aan applicaties zoals Discord, Slack en Telegram
  • Gegevens van Microsoft Outlook, Thunderbird en populaire FTP-clients (FileZilla, WinSCP en CoreFTP)
  • Configuratie- en inloggegevensbestanden met Docker-authenticatietokens, SSH-privésleutels, Git-inloggegevens, shell-geschiedenisbestanden, databasegeschiedenisbestanden, Kubernetes-clusterconfiguraties, .env-bestanden, wp-config.php en docker-compose.yml
  • Omgevingsvariabelen geladen in het PHP-proces
  • Bronbeheerreferenties van globale en lokale .gitconfig-bestanden, .git-credentials en .netrc-bestanden
  • VPN-configuratie en opgeslagen inlogbestanden voor OpenVPN, WireGuard, NetworkManager en commerciële VPN’s zoals NordVPN, ExpressVPN, CyberGhost en Mullvad

“De opgehaalde payload is een PHP-referentiesteler van ongeveer 5.900 regels, georganiseerd in vijftien gespecialiseerde verzamelmodules”, zei Aikido-onderzoeker Ilyas Makari. “Nadat het alles heeft verzameld wat het kan vinden, codeert het de resultaten met AES-256 en stuurt het naar flipboxstudio(.)info/exfil. Vervolgens verwijdert het zichzelf van de schijf om forensisch bewijsmateriaal te beperken.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Eerste VPN ontmanteld na wereldwijde verwijdering wegens gebruik door 25 ransomwaregroepen

Claude Mythos AI vindt 10.000 ernstige tekortkomingen in veelgebruikte software

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]