Cybersicherheitsforscher haben einen neuen Supply-Chain-Angriff auf **Laravel-Lang** PHP-Pakete aufgedeckt, um ein umfassendes Framework zum Stehlen von Anmeldedaten zu liefern. Dieser Angriff unterstreicht die zunehmende Raffinesse und die potenziellen Auswirkungen von Schwachstellen in der Lieferkette. ### Betroffene Pakete Die kompromittierten Pakete umfassen: * laravel-lang/lang * laravel-lang/http-statuses * laravel-lang/attributes * laravel-lang/actions **Socket** berichtete, dass der Zeitpunkt der veröffentlichten Tags auf eine breitere Kompromittierung des Veröffentlichungsprozesses der **Laravel Lang** Organisation hindeutet. Die Tags wurden am 22. und 23. Mai 2026 schnell veröffentlicht (Hinweis: Das Jahr ist wahrscheinlich ein Tippfehler in der Quelle), wobei viele Versionen innerhalb von Sekunden voneinander erschienen. Es wird angenommen, dass der Angreifer Zugriff auf organisationsweite Anmeldedaten, Repository-Automatisierung oder die Release-Infrastruktur erlangt hat. Mehr als 700 Versionen wurden als Teil dieses automatisierten Massen-Tagging- oder Neuveröffentlichungsereignisses identifiziert. ### Angriffsvektor Ein einzigartiger Aspekt dieses Angriffs ist, dass der Quellcode des Projekts nicht direkt modifiziert wurde. Stattdessen überschrieben die Angreifer jeden bestehenden Git-Tag in jedem Repository, um auf einen neuen bösartigen Commit zu verweisen. Der bösartige Code befindet sich in `src/helpers.php`, der in die Version-Tags eingebettet ist. Diese Datei identifiziert den infizierten Host und kommuniziert mit einem externen Server (`flipboxstudio[.]info`), um eine plattformübergreifende PHP-basierte Payload für Windows, Linux und macOS abzurufen. **StepSecurity** stellte fest, dass der Angreifer `src/helpers.php` zur `autoload.files`-Map in jedem kompromittierten Paket hinzugefügt hat. Da jede **Laravel**-Anwendung beim Start `require __DIR__.'/vendor/autoload.php'` aufruft, wird die Payload sofort beim Booten ausgeführt, ohne dass eine Klasseninstanziierung oder Methodenaufrufe erforderlich sind. ### Payload-Ausführung Laut **Aikido Security** liefert der Dropper einen **Visual Basic Script**-Launcher unter Windows, der über `cscript` ausgeführt wird. Unter Linux und macOS wird die Stealer-Payload mit `exec()` ausgeführt. **Socket** erklärte, dass die Backdoor automatisch bei jeder von der kompromittierten Anwendung verarbeiteten PHP-Anfrage ausgeführt wird, da `src/helpers.php` in `composer.json` unter `autoload.files` registriert ist. Das Skript generiert einen eindeutigen Host-Marker (einen MD5-Hash, der den Verzeichnispfad, die Systemarchitektur und die Inode kombiniert), um sicherzustellen, dass die Payload nur einmal pro Maschine ausgelöst wird, was redundante Ausführungen verhindert und zur unentdeckten Ausführung beiträgt. ### Datensammlung Der Stealer sammelt eine breite Palette von Daten von kompromittierten Systemen und exfiltriert sie nach `flipboxstudio[.]info`. Die erfassten Daten umfassen: * IAM-Rollen und Instanzidentitätsdokumente von Cloud-Metadaten-Endpunkten. * Standardanmeldedaten für **Google Cloud**-Anwendungen. * **Microsoft Azure**-Zugriffstoken und Service Principal-Profile. * **Kubernetes** Service Account-Token und Helm-Registry-Konfigurationen. * Authentifizierungstoken für **DigitalOcean**, **Heroku**, **Vercel**, **Netlify**, **Railway** und **Fly.io**. * **HashiCorp Vault**-Token. * Token und Konfigurationen von **Jenkins**, **GitLab Runners**, **GitHub Actions**, **CircleCI**, **TravisCI** und **ArgoCD**. * Seed-Phrasen und Dateien, die mit Kryptowährungs-Wallets (Electrum, Exodus, Atomic, Ledger Live, Trezor, Wasabi und Sparrow) und Erweiterungen (MetaMask, Phantom, Trust Wallet, Ronin, Keplr, Solflare und Rabby) verbunden sind. * Browserverlauf, Cookies und Anmeldedaten von **Google Chrome**, **Microsoft Edge**, **Mozilla Firefox**, **Brave** und **Opera**, wobei die app-gebundene Verschlüsselung (**ABE**) von **Chromium** umgangen wird. * Lokale Tresore und Browser-Erweiterungsdaten für **1Password**, **Bitwarden**, **LastPass**, **KeePass**, **Dashlane** und **NordPass**. * Gespeicherte Sitzungen von **PuTTY**/WinSCP. * Dumps des Windows Credential Managers. * RDP-Dateien. * Sitzungstoken, die mit Anwendungen wie **Discord**, **Slack** und **Telegram** verbunden sind. * Daten von **Microsoft Outlook**, **Thunderbird** und gängigen FTP-Clients (FileZilla, WinSCP und CoreFTP). * Konfigurations- und Anmeldedateien, die **Docker**-Authentifizierungstoken, private SSH-Schlüssel, Git-Anmeldedaten, Shell-Verlaufdateien, Datenbank-Verlaufdateien, **Kubernetes**-Cluster-Konfigurationen, `.env`-Dateien, `wp-config.php` und `docker-compose.yml` enthalten. * Umgebungsvariablen, die in den PHP-Prozess geladen werden. * Quellcodeverwaltungs-Anmeldedaten aus globalen und lokalen `.gitconfig`-Dateien, `.git-credentials` und `.netrc`-Dateien. * VPN-Konfiguration und gespeicherte Anmeldedateien für **OpenVPN**, **WireGuard**, **NetworkManager** und kommerzielle VPNs wie **NordVPN**, **ExpressVPN**, **CyberGhost** und **Mullvad**. **Aikido**-Forscher Ilyas Makari erklärte, dass die abgerufene Payload ein ca. 5.900 Zeilen langer PHP-Credential-Dieb ist, der in fünfzehn spezialisierte Sammlermodule unterteilt ist. Nach dem Sammeln der Daten verschlüsselt er die Ergebnisse mit AES-256, sendet sie an `flipboxstudio[.]info/exfil` und löscht sich dann selbst, um forensische Beweise zu minimieren.