セキュリティ企業である**StepSecurity**、**Aikido Security**、**Socket**がこの侵害に関する警告を発令しました。攻撃者は、全く新しい悪意のあるバージョンを公開するのではなく、**Laravel Lang**組織が管理する4つのリポジトリにわたる**GitHub**タグを書き換えたと指摘されています。これにより、正規のリリースに見せかけた悪意のあるコードを注入することが可能になりました。 ### 影響を受けるパッケージ 影響を受けたパッケージには、`laravel-lang/lang`、`laravel-lang/http-statuses`、`laravel-lang/attributes`、そしておそらく`laravel-lang/actions`が含まれます。これらはサードパーティのローカライゼーションパッケージであり、公式の**Laravel**プロジェクトの一部ではありません。 **Aikido Security**によると、攻撃者は3つのリポジトリにわたる233のバージョンを侵害しましたが、**Socket**は、約700の過去のバージョンが影響を受けた可能性があると示唆しています。 ### 攻撃メカニズム この攻撃の際立った特徴は、プロジェクトのソースコードが直接変更されなかったという点です。代わりに、攻撃者は**GitHub**の、タグが同じリポジトリのフォーク内のコミットを指すことを可能にする機能を悪用しました。 **StepSecurity**は次のように説明しています。「攻撃者は、新しい悪意のあるバージョンを公開するのではなく、各リポジトリの既存のgitタグをすべて書き換え、新しい悪意のあるコミットを指すようにしました。」 この手法により、攻撃者はプロジェクトの正規のリリースタグに見えるものを公開することができましたが、実際には攻撃者が管理するリポジトリのフォークに保存された悪意のあるコミットにつながっていました。開発者が**Composer**経由でパッケージをインストールすると、正規の**Laravel Lang**リリースをインストールしているように見えながら、悪意のあるコードがダウンロードされました。 ### 認証情報窃盗ツールの実行 研究者たちは、侵害されたリリースによって`src/helpers.php`という名前のファイルが導入され、これが**Composer**によって自動的にロードされることを発見しました。  *helpers.phpペイロードがcomposer.jsonのautoloadセクションに追加された* 注入されたコードはドロッパーとして機能し、攻撃者のコマンド＆コントロールサーバーである`flipboxstudio[.]info`から2番目のペイロードをダウンロードしました。 ダウンロードされたPHPペイロードは、Linux、macOS、Windows向けのクロスプラットフォームの大型認証情報窃盗ツールでした。これは、クラウド認証情報、Kubernetesシークレット、Vaultトークン、Git認証情報、CI/CDシークレット、SSHキー、ブラウザデータ、仮想通貨ウォレット、パスワードマネージャー、VPN構成、およびローカル`.env`構成ファイルを収集します。  *秘密情報を盗むために使用される正規表現パターン。出典: BleepingComputer* このマルウェアには、ファイルや環境変数から**AWS**キー、**GitHub**トークン、**Slack**トークン、**Stripe**シークレット、データベース認証情報、JWT、SSH秘密キー、および仮想通貨リカバリーフレーズを抽出するための正規表現パターンも含まれています。 Windowsシステムでは、PHPペイロードはbase64エンコードされた実行可能ファイルを抽出し、`%TEMP%`フォルダにランダムな`.exe`ファイル名で書き込み、その後起動します。 **BleepingComputer**の分析により、Windowsインフォスティーラーは「DebugElevator」であることが特定され、Chrome、Brave、Edgeを標的として、保存されたブラウザ認証情報を復号するためのApp-Bound Encryptionキーを抽出していました。  *DebugElevator実行可能ファイル。出典: BleepingComputer* 埋め込まれたPDBパスは、Windowsアカウント名「Mero」を参照しており、「claude」が含まれていることから、Windowsマルウェアの開発にAIの支援があった可能性を示唆しています。 C:\Users\Mero\OneDrive\Desktop\stuff\claude\Chromium-DebugElevator\x64\Release\DebugChromium.pdb 抽出された機密データは暗号化され、C2サーバーに送信されます。 ### 緩和策 **Aikido Security**はこのインシデントを**Packagist**に報告し、**Packagist**は迅速に悪意のあるバージョンを削除し、影響を受けたパッケージを一時的に非公開にしました。 **Laravel Lang**パッケージを使用している開発者は、以下のことを推奨します。 * インストールされているパッケージのバージョンを確認する。 * 漏洩した認証情報をローテーションする。 * 侵害の兆候がないかシステムを検査する。 * `flipboxstudio[.]info`への過去のアウトバウンド接続を確認する。 <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img src="https://www.bleepstatic.com/c/p/validation-gap.jpg" data-src="https://www.bleepstatic.com/c/p/validation-gap.jpg" alt="article image"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">The Validation Gap: Automated Pentesting Answers One Question. You Need Six.</a></h2> <p>Automated pentesting tools deliver real value, but they were built to answer one question: can an attacker move through the network? They were not built to test whether your controls block threats, your detection rules fire, or your cloud configs hold.</p> <p>This guide covers the 6 surfaces you actually need to validate.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Download Now</a></p> </div> </div>