Masivna napad na Laravel ekosistem - 233 verzije paketa zaražene
Napadači su zarazili 233 verzije Laravel-Lang paketa preko 700 GitHub repozitorijuma, ubacujući krađnu kredencijala i daljinski pristup razvojnom okruženju.
Šta se desilo?
Napadaci su izvršili sofisticiran napad na lanac snabdevanja Laravel-Lang paketa, ubacujući zlonamerni kod u 233 verzije distribuirane preko 700 GitHub repozitorijuma. Otkriven u maju 2026. godine od strane istraživača iz Socket-a i Aikido-a, napad je koristio manipulaciju GitHub tagovima kako bi malver dostigao razvojne timove kroz Composer upravljač paketima. Krađa akreditivnih podataka i daljinski pristup razvojnim okruženjima bili su glavni ciljevi napada.
Koga pogađa?
Pogođeni su svi programeri i organizacije koji koriste Laravel-Lang pakete kroz Composer upravnik paketima. Uglavnom su u riziku timovi koji razvijaju PHP aplikacije sa ovim lokalizacionim paketima. Napad može dovesti do kompromitovanja veoma osjetljivih podataka poput pristupnih ključeva za cloud usluge, akreditivnih podataka baza podataka, SSH ključeva i čuvanih lozinki.
Kako se zaštititi?
- Odmah proverite svoju composer.lock datoteku i pronađite verzije Laravel-Lang paketa koje mogu biti zaražene
- Rotacijom zamenite sve javne ključeve, lozinke API-ja i pristupne tokene koji su bili dostupni zaraženom okruženju
- Proverite sve odlazne mrežne konekcije i aktivnosti iz kompromitovanih mašina
- Potpuno obnovite sve sisteme koji su imali zaražene pakete korišćenjem poznatih bezbednih slike
- Posebnu pažnju obratite na jasne znakove postojanja programa - pregledajte privremene direktorijume za sumnjive PHP datoteke i VBS skripte
- Ažurirajte na verzije Laravel-Lang paketa koje su nakon ovog napada oslobođene
Tehnički detalji
Napadači su iskoristili Composer autoload.files direktivu kako bi automatski pokrenuli maliciozni kod iz src/helpers.php datoteke. Zaraženi paket sadrži sofisticiran stealer sa 15 specijalizovanih modula koji prikupljaju: AWS, GCP, Azure i DigitalOcean ključeve; Kubernetes profile i Docker tokene; SSH privatne ključeve i Git akreditive; čuvane lozinke pregledača i beleške iz shell istorije. Prikupljeni podaci se šifruju AES-256 algoritmom i zatim se prosleđuju komandi i kontrolnom serveru pre brisanja sa sistema. Indikatori kompromitovanja uključuju: C2 domen flipboxstudio[.]info; URL za preuzimanje payload-a https://flipboxstudio[.]info/payload; datoteke u <tmp>/.laravel_locale/ direktorijumu; DebugChromium.exe program na Windows sistemima; IP 169.254.169.254.
Preporuka Sajber Radara
Svi programeri koji koriste Laravel-Lang pakete trebaju da uradu detaljnu inventarizaciju zavisnosti i hitno zamene sve osjetljive akreditive. Preporučujemo da se svi sistemi koji su potencijalno dovedeni u kontakt sa zaraženim paketima potpuno rekonstruišu kako bi se eliminisao rizik od perzistentnog pristupa napadača.
