An ninh mạng

Cảnh báo: Các gói PHP Laravel-Lang bị tấn công chuỗi cung ứng, phát tán mã độc đánh cắp thông tin

Các gói thư viện PHP thuộc dự án Laravel-Lang vừa bị kẻ tấn công chiếm quyền kiểm soát để phát tán mã độc đánh cắp thông tin đa nền tảng. Mã độc này có khả năng thu thập dữ liệu nhạy cảm từ môi...

Nguyen Hung
28 Tháng 5, 2026 2 Min Read
3 0

Cộng đồng an ninh mạng vừa phát hiện một chiến dịch tấn công chuỗi cung ứng phần mềm (software supply chain attack) nhắm vào các gói PHP thuộc dự án Laravel-Lang. Kẻ tấn công đã thành công trong việc chèn mã độc vào nhiều gói thư viện phổ biến, bao gồm laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributeslaravel-lang/actions.

Phương thức tấn công tinh vi

Thay vì sửa đổi mã nguồn gốc của dự án, kẻ tấn công đã thực hiện ghi đè lên toàn bộ các git tag hiện có trong mỗi repository để trỏ đến các commit chứa mã độc. Theo các chuyên gia từ Socket, hơn 700 phiên bản đã bị ảnh hưởng, cho thấy quy trình phát hành của tổ chức Laravel-Lang có thể đã bị xâm nhập thông qua thông tin xác thực cấp tổ chức hoặc hạ tầng tự động hóa.

Mã độc được đặt trong tệp src/helpers.php và được tự động thực thi ngay khi ứng dụng khởi chạy nhờ vào cấu hình autoload.files trong composer.json. Điều này khiến mã độc kích hoạt mà không cần bất kỳ hành động gọi hàm hay khởi tạo lớp cụ thể nào từ phía người dùng.

Khả năng đánh cắp dữ liệu diện rộng

Sau khi được thực thi, mã độc sẽ liên lạc với máy chủ điều khiển (C2) tại flipboxstudio[.]info để tải về payload chính. Công cụ này hoạt động đa nền tảng trên Windows, Linux và macOS với khả năng thu thập dữ liệu cực kỳ nguy hiểm:

  • Thông tin Cloud & Hạ tầng: Thu thập IAM roles, token truy cập Azure, Google Cloud, Kubernetes Service Account, và các cấu hình từ Jenkins, GitLab, GitHub Actions.
  • Dữ liệu cá nhân & Tài chính: Đánh cắp lịch sử trình duyệt, cookie, thông tin đăng nhập từ các trình duyệt phổ biến (Chrome, Edge, Firefox, Brave, Opera), cùng với dữ liệu từ các trình quản lý mật khẩu như 1Password, Bitwarden, LastPass.
  • Tiền điện tử: Thu thập seed phrase và tệp tin liên quan đến các ví tiền điện tử và tiện ích mở rộng ví (MetaMask, Phantom, Ledger Live, v.v.).
  • Thông tin hệ thống: SSH private keys, tệp .env, wp-config.php, các tệp cấu hình VPN và thông tin xác thực từ các ứng dụng như Discord, Slack, Telegram.

Sau khi hoàn tất quá trình thu thập, mã độc sẽ mã hóa dữ liệu bằng AES-256, gửi về máy chủ C2 và tự xóa dấu vết khỏi hệ thống để tránh bị phát hiện bởi các công cụ phân tích pháp y (forensics).

Các nhà phát triển đang sử dụng các gói thư viện này được khuyến cáo kiểm tra kỹ các phiên bản đã cài đặt, cập nhật lên phiên bản sạch mới nhất và thực hiện rà soát bảo mật toàn diện cho các môi trường đã triển khai ứng dụng.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept