Laravel Lang packages hijacked to deploy credential-stealing malware

Compromission de la chaîne d’approvisionnement des paquets Laravel Lang

Une campagne malveillante a ciblé les paquets de localisation « Laravel Lang » en détournant les tags de version sur GitHub. Plutôt que de publier de nouvelles versions, les attaquants ont réécrit des centaines de tags existants pour les faire pointer vers des commits corrompus hébergés dans un fork sous leur contrôle.

Points clés :

• Mode opératoire : L’abus des tags GitHub a permis de distribuer du code malveillant via Composer tout en conservant l’apparence de versions légitimes.
• Charge utile : Le fichier src/helpers.php injecté télécharge un malware voleur d’informations depuis le serveur C2 flipboxstudio[.]info.
• Portée : Le malware est multiplateforme (Linux, macOS, Windows) et capable d’extraire des secrets hautement sensibles (clés AWS, jetons GitHub/Slack, portefeuilles crypto, mots de passe, clés SSH, etc.).
• Windows spécifique : Le malware déploie l’exécutable DebugElevator pour contourner le chiffrement des navigateurs et dérober les identifiants stockés.

Vulnérabilités :

• Absence de CVE spécifique : Cette attaque n’exploite pas une faille logicielle traditionnelle, mais une vulnérabilité de processus dans la gestion des tags Git sur GitHub. Il s’agit d’une attaque par empoisonnement de la chaîne d’approvisionnement (Supply Chain Attack).

Recommandations :

• Audit immédiat : Vérifier les versions des paquets Laravel Lang installés dans vos projets.
• Rotation des secrets : Considérer que tous les identifiants présents sur les machines où ces paquets ont été installés sont compromis (AWS, API keys, SSH, tokens CI/CD).
• Analyse système : Rechercher des connexions sortantes vers flipboxstudio[.]info et inspecter les systèmes à la recherche du processus DebugElevator ou de comportements suspects.
• Sécurisation : Privilégier le verrouillage des versions exactes (hash de commit) plutôt que des tags Git modulables pour les dépendances critiques.

Source