Sicherheitsfirmen **StepSecurity**, **Aikido Security** und **Socket** gaben Warnungen über die Kompromittierung heraus und hoben hervor, dass Angreifer **GitHub**-Tags in vier Repositories, die von der **Laravel Lang**-Organisation gepflegt werden, überschrieben haben, anstatt völlig neue bösartige Versionen zu veröffentlichen. Dies ermöglichte es ihnen, bösartigen Code in scheinbar legitime Releases einzuschleusen. ### Betroffene Pakete Zu den betroffenen Paketen gehören `laravel-lang/lang`, `laravel-lang/http-statuses`, `laravel-lang/attributes` und möglicherweise `laravel-lang/actions`. Dies sind Drittanbieter-Lokalisierungspakete und nicht Teil des offiziellen **Laravel**-Projekts. **Aikido Security** berichtete, dass Angreifer 233 Versionen in drei Repositories kompromittiert haben, während **Socket** angab, dass etwa 700 historische Versionen betroffen sein könnten. ### Angriffsmechanismus Das besondere Merkmal des Angriffs liegt darin, dass der Quellcode des Projekts nicht direkt verändert wurde. Stattdessen nutzten die Angreifer eine **GitHub**-Funktion aus, die es Tags ermöglicht, auf Commits in Forks desselben Repositories zu verweisen. **StepSecurity** erklärte: „Anstatt eine neue bösartige Version zu veröffentlichen, überschrieb der Angreifer jeden bestehenden Git-Tag in jedem Repository, sodass er auf einen neuen bösartigen Commit zeigte.“ Diese Technik ermöglichte es den Angreifern, scheinbar legitime Release-Tags für das Projekt zu veröffentlichen, die tatsächlich auf bösartige Commits in einem vom Angreifer kontrollierten Fork des Repositories führten. Wenn Entwickler das Paket über **Composer** installierten, wurde der bösartige Code heruntergeladen, während es so aussah, als würden legitime **Laravel Lang**-Releases installiert. ### Ausführung des Anmeldedaten-Diebstahls Forscher entdeckten, dass die bösartigen Releases eine Datei namens `src/helpers.php` einführten, die automatisch von **Composer** geladen wurde.  *helpers.php-Payload zum Autoload-Bereich von&nbsp;composer.json hinzugefügt* Der eingeschleuste Code fungierte als Dropper und lud eine zweite Payload vom Command-and-Control-Server des Angreifers unter `flipboxstudio[.]info` herunter. Die heruntergeladene PHP-Payload war ein großer plattformübergreifender Anmeldedaten-Dieb für Linux, macOS und Windows. Er sammelt Cloud-Anmeldedaten, Kubernetes-Secrets, Vault-Tokens, Git-Anmeldedaten, CI/CD-Secrets, SSH-Schlüssel, Browserdaten, Kryptowährungs-Wallets, Passwortmanager, VPN-Konfigurationen und lokale `.env`-Konfigurationsdateien.  *Reguläre Ausdruckmuster zum Stehlen von Geheimnissen. Quelle: BleepingComputer* Die Malware enthält auch Muster für reguläre Ausdrücke, um **AWS**-Schlüssel, **GitHub**-Tokens, **Slack**-Tokens, **Stripe**-Secrets, Datenbank-Anmeldedaten, JWTs, private SSH-Schlüssel und Kryptowährungs-Wiederherstellungsphrasen aus Dateien und Umgebungsvariablen zu extrahieren. Auf Windows-Systemen extrahiert die PHP-Payload eine Base64-kodierte ausführbare Datei, die im `%TEMP%`-Ordner unter einem zufälligen `.exe`-Dateinamen gespeichert und dann gestartet wird. Die Analyse von **BleepingComputer** identifizierte den Windows-Infostealer als 'DebugElevator', der Chrome, Brave und Edge anvisiert, um App-Bound Encryption-Schlüssel zum Entschlüsseln gespeicherter Browser-Anmeldedaten zu extrahieren.  *DebugElevator ausführbare Datei. Quelle: BleepingComputer* Ein eingebetteter PDB-Pfad verweist auf den Windows-Kontonamen 'Mero' und enthält 'claude', was möglicherweise auf KI-Unterstützung bei der Entwicklung der Windows-Malware hinweist: C:\Users\Mero\OneDrive\Desktop\stuff\claude\Chromium-DebugElevator\x64\Release\DebugChromium.pdb Nach der Extraktion werden die sensiblen Daten verschlüsselt und an den C2-Server zurückgesendet. ### Abhilfemaßnahmen **Aikido Security** meldete den Vorfall an **Packagist**, das die bösartigen Versionen umgehend entfernte und die betroffenen Pakete vorübergehend aus der Liste nahm. Entwicklern, die **Laravel Lang**-Pakete verwenden, wird empfohlen: * Installierte Paketversionen zu überprüfen. * Exponierte Anmeldedaten zu rotieren. * Systeme auf Kompromittierungsindikatoren zu untersuchen. * Nach historischen ausgehenden Verbindungen zu `flipboxstudio[.]info` zu suchen. <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img src="https://www.bleepstatic.com/c/p/validation-gap.jpg" data-src="https://www.bleepstatic.com/c/p/validation-gap.jpg" alt="Artikelbild"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Die Validierungslücke: Automatisiertes Pentesting beantwortet eine Frage. Sie brauchen sechs.</a></h2> <p>Automatisierte Pentesting-Tools liefern echten Mehrwert, aber sie wurden entwickelt, um eine Frage zu beantworten: Kann ein Angreifer sich im Netzwerk bewegen? Sie wurden nicht entwickelt, um zu testen, ob Ihre Kontrollen Bedrohungen blockieren, Ihre Erkennungsregeln auslösen oder Ihre Cloud-Konfigurationen standhalten.</p> <p>Dieser Leitfaden behandelt die 6 Oberflächen, die Sie tatsächlich validieren müssen.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Jetzt herunterladen</a></p> </div> </div>