Laravel Lang: Hunderte PHP-Paketversionen mit Malware verseucht
Hunderte Paketversionen von Laravel Lang, einer populären Lokalisierungslösung für das weitverbreitete PHP-Framework Laravel, sind im Rahmen eines Supply-Chain-Angriffs mit Schadcode verseucht worden. Das geht aus einem Bericht der Sicherheitsforscher von Aikido(öffnet im neuen Fenster) hervor. Ziel der Angreifer ist es demnach, massenhaft Zugangsdaten und andere vertrauliche Informationen abzugreifen.
Auch Sicherheitsforscher von Socket sind auf den Angriff aufmerksam geworden. Diese haben 700 Paketversionen der Laravel-Lang-Repositorys lang(öffnet im neuen Fenster), http-statuses(öffnet im neuen Fenster), attributes(öffnet im neuen Fenster) und actions(öffnet im neuen Fenster) entdeckt, die alle kompromittiert sein sollen. Eine vollständige und durchsuchbare Liste ist im Blogbeitrag der Socket-Forscher(öffnet im neuen Fenster) zu finden.
Laravel Lang ist zwar nicht Teil des offiziellen Laravel-Projektes, dennoch werden die Übersetzungspakete in zahlreichen Laravel-basierten PHP-Anwendungen genutzt. Allein das lang-Repository erreicht auf Github etwa 7.800 Sterne und 3.000 Forks. Nach Angaben der Entwickler unterstützt Laravel Lang 128 verschiedene Sprachen.
Schadcode wird automatisch ausgeführt
Der eingangs geannnte Supply-Chain-Angriff soll am 22. und 23. Mai stattgefunden haben. Den Angaben zufolge handelt es sich bei der eingeschleusten Malware um einen Infostealer. Dieser wird auf den jeweiligen Zielsystemen automatisch über die Autoloader-Funktion des PHP-Paketmanagers Composer zur Ausführung gebracht. Der Schadcode bestehe aus rund 5.900 PHP-Codezeilen und sei modular aufgebaut, heißt es bei Aikido.
Eingeschleust worden sein soll die Malware aber nicht durch reguläre Commits in den Laravel-Lang-Repos. "Github erlaubt es, Version-Tags auf Commits aus einem Fork desselben Repositorys zu lenken. Der Angreifer nutzte dies aus, um Tags zu erstellen, die auf Commits in einem von ihm kontrollierten bösartigen Fork verweisen", erklären die Forscher diesbezüglich.
Dadurch wurden keine grundsätzlich neuen Paketversionen als Updates bereitgestellt, sondern Downloads für bestehende und teilweise schon mehrere Jahre alte Versionen(öffnet im neuen Fenster) nachträglich manipuliert.
Zugangsdaten und mehr
Hauptziel der Angreifer ist das Ausleiten vertraulicher Daten. Der Infostealer sucht unter anderem Cloud-Zugangsdaten, Tokens für Github, Slack, Discord, Telegram und Kubernetes-Dienstkonten, Umgebungsvariablen, Konfigurationsdaten, Kryptowallets, Browserdaten, Passwort-Tresore, SSH-Schlüssel, Shell-Eingabehistorien und viele andere lokale Daten. Diese werden jeweils lokal verschlüsselt und anschließend an ein System des Angreifers übertragen.
Die Aikido-Forscher haben ihre Beobachtungen nach eigenen Angaben umgehend an die Laravel-Lang-Entwickler(öffnet im neuen Fenster) und an Packagist gemeldet, woraufhin die kompromittierten Paketversionen zügig vom Netz genommen wurden. Dennoch dürfte der Schadcode bis dahin auf einige Entwicklersysteme gelangt sein.
Nutzer der betroffenen Pakete sollten daher dringend prüfen, ob sie die Malware möglicherweise heruntergeladen haben und gegebenenfalls weitere Maßnahmen einleiten. Für eigene Untersuchungen nützliche Kompromittierungsindikatoren sowie konkrete Handlungsempfehlungen sind neben den Meldungen von Aikido(öffnet im neuen Fenster) und Socket(öffnet im neuen Fenster) auch bei Stepsecurity(öffnet im neuen Fenster) und in einem Untersuchungsbericht der Laravel-Lang-Entwickler(öffnet im neuen Fenster) zu finden.
- Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.