Pesquisadores de cibersegurança descobriram um novo ataque à cadeia de suprimentos de software visando pacotes PHP do **Laravel-Lang** para entregar um framework abrangente de roubo de credenciais. Este ataque destaca a crescente sofisticação e o impacto potencial das vulnerabilidades na cadeia de suprimentos. ### Pacotes Afetados Os pacotes comprometidos incluem: * laravel-lang/lang * laravel-lang/http-statuses * laravel-lang/attributes * laravel-lang/actions **Socket** relatou que o momento das tags publicadas sugere um comprometimento mais amplo do processo de lançamento da organização **Laravel Lang**. As tags foram publicadas rapidamente em 22 e 23 de maio de 2026 (Nota: O ano é provavelmente um erro de digitação na fonte), com muitas versões aparecendo em segundos umas das outras. Acredita-se que o atacante obteve acesso a credenciais em nível de organização, automação de repositório ou infraestrutura de lançamento. Mais de 700 versões foram identificadas como parte deste evento automatizado de marcação em massa ou republicação. ### Vetor de Ataque Um aspecto único deste ataque é que o código-fonte do projeto não foi modificado diretamente. Em vez disso, os atacantes reescreveram todas as tags Git existentes em cada repositório para apontar para um novo commit malicioso. O código malicioso reside em `src/helpers.php`, que é incorporado às tags de versão. Este arquivo faz o fingerprint do host infectado e se comunica com um servidor externo (`flipboxstudio[.]info`) para recuperar um payload multiplataforma baseado em PHP para Windows, Linux e macOS. **StepSecurity** observou que o atacante adicionou `src/helpers.php` ao mapeamento `autoload.files` em cada pacote comprometido. Como toda aplicação **Laravel** chama `require __DIR__.'/vendor/autoload.php'` na inicialização, o payload é executado imediatamente ao iniciar, sem exigir instanciação de classe ou chamadas de método. ### Execução do Payload De acordo com a **Aikido Security**, o dropper entrega um launcher **Visual Basic Script** no Windows, executado via `cscript`. No Linux e macOS, ele executa o payload do stealer usando `exec()`. **Socket** explicou que, como `src/helpers.php` está registrado no `composer.json` sob `autoload.files`, o backdoor é executado automaticamente em todas as requisições PHP tratadas pela aplicação comprometida. O script gera um marcador único por host (um hash MD5 combinando o caminho do diretório, arquitetura do sistema e inode) para garantir que o payload seja acionado apenas uma vez por máquina, evitando execuções redundantes e auxiliando em permanecer indetectado. ### Exfiltração de Dados O stealer coleta uma ampla gama de dados de sistemas comprometidos e os exfiltra para `flipboxstudio[.]info`. Os dados visados incluem: * Funções IAM e documentos de identidade de instância de endpoints de metadados na nuvem. * Credenciais padrão de aplicação do **Google Cloud**. * Tokens de acesso e perfis de principal de serviço do **Microsoft Azure**. * Tokens de Conta de Serviço do **Kubernetes** e configurações de registro Helm. * Tokens de autenticação para **DigitalOcean**, **Heroku**, **Vercel**, **Netlify**, **Railway** e **Fly.io**. * Tokens do **HashiCorp Vault**. * Tokens e configurações de **Jenkins**, **GitLab Runners**, **GitHub Actions**, **CircleCI**, **TravisCI** e **ArgoCD**. * Frases semente e arquivos associados a carteiras de criptomoedas (Electrum, Exodus, Atomic, Ledger Live, Trezor, Wasabi e Sparrow) e extensões (MetaMask, Phantom, Trust Wallet, Ronin, Keplr, Solflare e Rabby). * Histórico de navegador, cookies e dados de login do **Google Chrome**, **Microsoft Edge**, **Mozilla Firefox**, **Brave** e **Opera**, contornando a criptografia vinculada ao aplicativo (ABE) do **Chromium**. * Vaults locais e dados de extensões de navegador para **1Password**, **Bitwarden**, **LastPass**, **KeePass**, **Dashlane** e **NordPass**. * Sessões salvas do **PuTTY**/WinSCP. * Dumps do Gerenciador de Credenciais do Windows. * Arquivos RDP. * Tokens de sessão associados a aplicativos como **Discord**, **Slack** e **Telegram**. * Dados do **Microsoft Outlook**, **Thunderbird** e clientes FTP populares (FileZilla, WinSCP e CoreFTP). * Arquivos de configuração e credenciais contendo tokens de autenticação **Docker**, chaves privadas SSH, arquivos de histórico do shell, arquivos de histórico de banco de dados, configurações de cluster **Kubernetes**, arquivos `.env`, `wp-config.php` e `docker-compose.yml`. * Variáveis de ambiente carregadas no processo PHP. * Credenciais de controle de origem de arquivos `.gitconfig` globais e locais, `.git-credentials` e `.netrc`. * Configuração de VPN e arquivos de login salvos para **OpenVPN**, **WireGuard**, **NetworkManager** e VPNs comerciais como **NordVPN**, **ExpressVPN**, **CyberGhost** e **Mullvad**. O pesquisador da **Aikido**, Ilyas Makari, afirmou que o payload buscado é um coletor de credenciais em PHP com cerca de 5.900 linhas, organizado em quinze módulos coletores especializados. Após coletar os dados, ele criptografa os resultados com AES-256 e os envia para `flipboxstudio[.]info/exfil`, em seguida, se auto-exclui para limitar evidências forenses.