Atak na łańcuch dostaw Composer: złośliwe pakiety Laravel Lang rozsyłały malware kradnące poświadczenia

Wprowadzenie do problemu / definicja

Ataki na łańcuch dostaw oprogramowania należą dziś do najgroźniejszych incydentów cyberbezpieczeństwa, ponieważ wykorzystują zaufanie do popularnych bibliotek i mechanizmów automatycznej instalacji zależności. W opisanym przypadku celem stały się pakiety lokalizacyjne Laravel Lang dystrybuowane przez Composer, które zostały użyte do dostarczenia złośliwego kodu wykradającego poświadczenia i inne sekrety.

Najistotniejsze jest to, że atakujący nie opublikowali wyłącznie nowej, podejrzanej wersji. Zamiast tego przejęto istniejące znaczniki wydań w repozytoriach Git, przez co użytkownicy mogli instalować pozornie znane i zaufane wersje, które w rzeczywistości wskazywały na złośliwe commity.

W skrócie

• Incydent objął popularne pakiety Laravel Lang używane z Composerem.
• Atak polegał na podmianie tagów Git, a nie jedynie na publikacji nowej wersji.
• Złośliwy kod był automatycznie ładowany przez Composer poprzez plik PHP dodany do autoload.
• Ładunek końcowy działał jako stealer ukierunkowany na Linux, macOS i Windows.
• Celem były m.in. tokeny, klucze SSH, sekrety CI/CD, pliki środowiskowe i dane przeglądarek.

Kontekst / historia

Ekosystemy zależności, takie jak npm, PyPI czy Composer, od lat są atrakcyjnym celem dla cyberprzestępców. Powód jest prosty: biblioteki zewnętrzne są pobierane automatycznie i często trafiają bezpośrednio do środowisk deweloperskich, pipeline’ów budowania oraz serwerów aplikacyjnych. Gdy jeden element tego łańcucha zostanie naruszony, skutki mogą objąć znacznie szerszą część infrastruktury.

W tym incydencie szczególnie niebezpieczny był sposób działania. Zamiast klasycznego scenariusza z nowym numerem wersji, wykorzystano manipulację historycznymi tagami GitHub. Taka metoda utrudnia wykrycie, ponieważ z perspektywy dewelopera lub narzędzia instalacyjnego pobierana wersja może wyglądać na legalną i od dawna zaufaną.

Analizy badaczy wskazywały, że problem dotyczył wielu historycznych wersji pakietów związanych z Laravel Lang. Wśród wymienianych nazw znajdowały się między innymi pakiety odpowiedzialne za tłumaczenia, kody statusów HTTP oraz atrybuty, a także inne powiązane komponenty.

Analiza techniczna

Techniczny mechanizm ataku opierał się na przepisaniu istniejących tagów Git tak, aby nie wskazywały już na oryginalne commity projektu, lecz na złośliwe commity przygotowane przez napastnika. To subtelna, ale bardzo skuteczna metoda kompromitacji, ponieważ użytkownik nie zawsze zauważy, że źródło konkretnego wydania zostało podmienione.

Kluczową rolę odgrywał dodany plik src/helpers.php, który został skonfigurowany tak, aby ładował się automatycznie przez Composer. Dzięki temu złośliwy kod mógł zostać wykonany bez jawnego wywołania przez aplikację. Sam proces instalacji lub użycia pakietu wystarczał do uruchomienia pierwszego etapu infekcji.

Pierwszy etap działał jako dropper, którego zadaniem było pobranie kolejnego komponentu z infrastruktury sterującej. Drugi etap stanowił rozbudowany stealer napisany w PHP. Malware przeszukiwał system operacyjny, katalogi użytkownika oraz zmienne środowiskowe w poszukiwaniu danych szczególnie cennych z punktu widzenia dalszej kompromitacji.

• klucze i poświadczenia chmurowe,
• sekrety Kubernetes i tokeny menedżerów sekretów,
• dane Git oraz sekrety CI/CD,
• klucze SSH,
• pliki .env,
• tokeny usług deweloperskich i komunikacyjnych,
• poświadczenia baz danych,
• tokeny JWT,
• dane portfeli kryptowalutowych,
• konfiguracje VPN,
• dane z przeglądarek i menedżerów haseł.

Szczególnie groźna była ścieżka infekcji dla systemów Windows. Z analizy wynikało, że malware wyodrębniał osadzony plik wykonywalny, zapisywał go w katalogu tymczasowym pod losową nazwą i uruchamiał. Ten komponent był ukierunkowany na przeglądarki oparte na Chromium, aby pozyskać materiał pomocny w odszyfrowaniu zapisanych danych logowania. Po zakończeniu zbierania informacji dane były szyfrowane i przekazywane do serwera kontrolowanego przez atakującego.

Konsekwencje / ryzyko

Skala ryzyka w tego typu incydencie jest bardzo wysoka, ponieważ dotyczy środowisk, które z natury mają szerokie uprawnienia. Stacja robocza programisty, runner CI/CD czy serwer budujący aplikację często posiadają dostęp do repozytoriów, sekretów wdrożeniowych, kont chmurowych i infrastruktury produkcyjnej. Jedna zainfekowana zależność może więc stać się punktem wyjścia do znacznie poważniejszego naruszenia.

• kradzież sekretów aplikacyjnych i poświadczeń chmurowych,
• przejęcie kont deweloperskich oraz repozytoriów kodu,
• uzyskanie dostępu do środowisk Kubernetes i automatyzacji wdrożeń,
• możliwość przeprowadzenia wtórnych ataków przez skażone pipeline’y,
• ryzyko trwałego osadzenia się napastnika w procesie tworzenia oprogramowania.

Dodatkowym problemem jest opóźnione wykrycie. Jeżeli organizacja ufała historycznym tagom i nie prowadziła niezależnej walidacji artefaktów, złośliwy pakiet mógł zostać użyty bez wywoływania alarmu. W praktyce oznacza to konieczność traktowania incydentu nie tylko jako kompromitacji pojedynczej biblioteki, lecz także jako potencjalnego naruszenia tożsamości, sekretów i zaufania w całym cyklu życia oprogramowania.

Rekomendacje

Organizacje korzystające z Composer i pakietów PHP powinny potraktować ten przypadek jako ważny sygnał ostrzegawczy. Konieczne jest nie tylko usunięcie zagrożonej zależności, ale również sprawdzenie, czy w środowisku nie doszło już do kradzieży danych uwierzytelniających lub nieautoryzowanego dostępu.

• natychmiast ustalić, czy używano pakietów Laravel Lang objętych incydentem,
• przeanalizować pliki lock, cache buildów oraz artefakty CI/CD,
• sprawdzić obecność podejrzanego pliku helpers.php i zmian w autoload,
• przeanalizować połączenia wychodzące z hostów deweloperskich i buildowych,
• uznać sekrety obecne na potencjalnie zainfekowanych hostach za skompromitowane,
• przeprowadzić rotację tokenów API, kluczy SSH, haseł oraz danych dostępowych do chmury i CI/CD,
• przeskanować systemy pod kątem wskaźników kompromitacji,
• odtworzyć zaufanie do środowiska przez przebudowę runnerów i odświeżenie obrazów,
• wdrożyć monitorowanie integralności zależności, tagów i źródeł pochodzenia,
• ograniczyć uprawnienia kont zgodnie z zasadą najmniejszych uprawnień.

Z perspektywy strategicznej warto także wdrożyć wewnętrzne mirrory zależności, polityki allowlist dla pakietów i wydawców, skanowanie SCA oraz walidację pochodzenia artefaktów. Tylko połączenie kontroli integralności, segmentacji środowisk i rygorystycznego zarządzania sekretami pozwala ograniczyć skutki podobnych ataków.

Podsumowanie

Incydent z pakietami Laravel Lang pokazuje, że nowoczesne ataki na łańcuch dostaw stają się coraz bardziej wyrafinowane. Manipulacja tagami Git i wykorzystanie zaufanych mechanizmów dystrybucji pozwalają ominąć część standardowych kontroli, które skupiają się wyłącznie na numerach wersji i prostym skanowaniu zależności.

Dla organizacji oznacza to konieczność rozszerzenia modelu bezpieczeństwa. Ochrona musi obejmować integralność źródeł, monitoring procesu build, szybką rotację sekretów, walidację artefaktów i ograniczanie zaufania do komponentów zewnętrznych. Każdy incydent w ekosystemie zależności należy dziś traktować jak potencjalne zagrożenie dla całej infrastruktury tożsamości i dostępu.

Źródła

1. Laravel Lang packages hijacked to deploy credential-stealing malware — https://www.bleepingcomputer.com/news/security/laravel-lang-packages-hijacked-to-deploy-credential-stealing-malware/
2. StepSecurity — Security Alert: Compromise of Laravel Lang Packages — https://www.stepsecurity.io/blog/security-alert-compromise-of-laravel-lang-packages
3. Aikido Security Research — Malicious code found in Laravel Lang packages — https://www.aikido.dev/blog/malicious-code-found-in-laravel-lang-packages
4. Socket — Alert on compromised Laravel Lang packages — https://socket.dev/blog/alert-on-compromised-laravel-lang-packages