As empresas de segurança **StepSecurity**, **Aikido Security** e **Socket** emitiram alertas sobre o comprometimento, destacando que os atacantes reescreveram tags do **GitHub** em quatro repositórios mantidos pela organização **Laravel Lang**, em vez de publicar versões maliciosas totalmente novas. Isso permitiu que injetassem código malicioso em lançamentos que pareciam legítimos. ### Pacotes Afetados Os pacotes afetados incluem `laravel-lang/lang`, `laravel-lang/http-statuses`, `laravel-lang/attributes` e possivelmente `laravel-lang/actions`. Estes são pacotes de localização de terceiros e não fazem parte do projeto oficial **Laravel**. **Aikido Security** relatou que os atacantes comprometeram 233 versões em três repositórios, enquanto **Socket** indicou que aproximadamente 700 versões históricas podem ter sido impactadas. ### Mecanismo do Ataque A característica distintiva do ataque reside no fato de que o código-fonte do projeto não foi modificado diretamente. Em vez disso, os atacantes exploraram um recurso do **GitHub** que permite que tags apontem para commits em forks do mesmo repositório. **StepSecurity** explicou: "Em vez de publicar uma nova versão maliciosa, o atacante reescreveu todas as tags git existentes em cada repositório para apontar para um novo commit malicioso." Essa técnica permitiu que os atacantes publicassem o que pareciam ser tags de lançamento legítimas para o projeto, que na verdade levavam a commits maliciosos armazenados em um fork do repositório controlado pelo atacante. Quando os desenvolvedores instalavam o pacote via **Composer**, ele baixava o código malicioso, embora parecesse estar instalando lançamentos legítimos do **Laravel Lang**. ### Execução do Ladrão de Credenciais Pesquisadores descobriram que os lançamentos maliciosos introduziram um arquivo chamado `src/helpers.php`, carregado automaticamente pelo **Composer**.  *Payload helpers.php adicionado à seção autoload do composer.json* O código injetado agiu como um dropper, baixando um segundo payload do servidor de comando e controle do atacante em `flipboxstudio[.]info`. O payload PHP baixado era um grande ladrão de credenciais multiplataforma para Linux, macOS e Windows. Ele coleta credenciais de nuvem, segredos do Kubernetes, tokens do Vault, credenciais Git, segredos de CI/CD, chaves SSH, dados de navegador, carteiras de criptomoedas, gerenciadores de senhas, configurações de VPN e arquivos de configuração `.env` locais.  *Padrões de expressão regular usados para roubar segredos. Fonte: BleepingComputer* O malware também contém padrões de expressão regular para extrair chaves **AWS**, tokens **GitHub**, tokens **Slack**, segredos **Stripe**, credenciais de banco de dados, JWTs, chaves privadas SSH e frases de recuperação de criptomoedas de arquivos e variáveis de ambiente. Em sistemas Windows, o payload PHP extrai um executável codificado em base64, gravado na pasta `%TEMP%` com um nome de arquivo `.exe` aleatório, e então o executa. A análise do **BleepingComputer** identificou o infostealer para Windows como 'DebugElevator', que visa Chrome, Brave e Edge para extrair chaves de criptografia App-Bound para descriptografar credenciais armazenadas no navegador.  *Executável DebugElevator. Fonte: BleepingComputer* Um caminho PDB embutido referencia o nome de usuário do Windows 'Mero' e contém 'claude', potencialmente indicando assistência de IA no desenvolvimento do malware para Windows: C:\Users\Mero\OneDrive\Desktop\stuff\claude\Chromium-DebugElevator\x64\Release\DebugChromium.pdb Uma vez extraídos, os dados sensíveis são criptografados e enviados de volta para o servidor C2. ### Mitigação **Aikido Security** relatou o incidente ao **Packagist**, que prontamente removeu as versões maliciosas e deslistou temporariamente os pacotes afetados. Desenvolvedores que utilizam pacotes **Laravel Lang** são aconselhados a: * Revisar as versões dos pacotes instalados. * Rotacionar credenciais expostas. * Inspecionar sistemas em busca de indicadores de comprometimento. * Verificar conexões de saída históricas para `flipboxstudio[.]info`. <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img src="https://www.bleepstatic.com/c/p/validation-gap.jpg" data-src="https://www.bleepstatic.com/c/p/validation-gap.jpg" alt="imagem do artigo"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">A Lacuna de Validação: Testes de Penetração Automatizados Respondem a Uma Pergunta. Você Precisa de Seis.</a></h2> <p>Ferramentas de testes de penetração automatizados entregam valor real, mas foram construídas para responder a uma pergunta: um atacante pode se mover pela rede? Elas não foram construídas para testar se seus controles bloqueiam ameaças, se suas regras de detecção disparam ou se suas configurações de nuvem se sustentam.</p> <p>Este guia abrange as 6 superfícies que você realmente precisa validar.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Baixe Agora</a></p> </div> </div>