Các gói Laravel-Lang PHP bị xâm nhập để phát tán mã độc đánh cắp thông tin đa nền tảng

Một chiến dịch tấn công chuỗi cung ứng phần mềm mới đã nhắm mục tiêu vào nhiều gói PHP của Laravel-Lang, phát tán một framework đánh cắp thông tin toàn diện, hoạt động trên Windows, Linux và macOS.

Các nhà nghiên cứu an ninh mạng vừa cảnh báo về một chiến dịch tấn công chuỗi cung ứng phần mềm mới, nhắm vào nhiều gói PHP thuộc Laravel-Lang. Mục tiêu của chiến dịch này là phát tán một framework đánh cắp thông tin toàn diện, có khả năng hoạt động trên nhiều nền tảng.

Các gói bị ảnh hưởng bao gồm:

  • laravel-lang/lang
  • laravel-lang/http-statuses
  • laravel-lang/attributes
  • laravel-lang/actions

Theo Socket, thời điểm và mô hình của các thẻ (tag) mới được công bố cho thấy đây là một sự xâm nhập rộng hơn vào quy trình phát hành của tổ chức Laravel Lang, chứ không chỉ là một phiên bản gói độc hại đơn lẻ. Các thẻ này được phát hành liên tiếp vào ngày 22 và 23 tháng 5 năm 2026, với nhiều phiên bản xuất hiện chỉ cách nhau vài giây.

Hơn 700 phiên bản liên quan đến các gói này đã được xác định, cho thấy khả năng gắn thẻ hàng loạt tự động hoặc tái xuất bản. Có thể kẻ tấn công đã giành được quyền truy cập vào thông tin xác thực cấp tổ chức, hệ thống tự động hóa kho lưu trữ hoặc hạ tầng phát hành.

Điểm khác biệt của cuộc tấn công này là mã nguồn thực tế của dự án không bị thay đổi để chèn malware. Thay vào đó, kẻ tấn công đã viết lại mọi git tag hiện có trong mỗi repository để trỏ đến một commit độc hại mới.

Chức năng độc hại cốt lõi nằm trong một tệp có tên “src/helpers.php”, được nhúng vào các thẻ phiên bản. Tệp này chủ yếu được thiết kế để lấy dấu vân tay của máy chủ bị nhiễm và liên hệ với một server bên ngoài (“flipboxstudio[.]info”) để tải về một payload đánh cắp thông tin đa nền tảng dựa trên PHP, chạy trên Windows, Linux và macOS.

StepSecurity cho biết, kẻ tấn công đã thêm “src/helpers.php” vào bản đồ autoload.files trong mỗi gói bị xâm nhập. Vì mọi ứng dụng Laravel đều gọi require __DIR__.'/vendor/autoload.php' khi khởi động, và hầu hết các framework PHP khác như Symfony, PHPUnit cũng làm tương tự, payload sẽ chạy ngay khi bất kỳ người dùng nào của gói khởi động. Không cần khởi tạo class, gọi phương thức hay bất kỳ trigger đặc biệt nào.

Theo Aikido Security, dropper sẽ phân phối một trình khởi chạy Visual Basic Script trên Windows và chạy nó thông qua cscript. Trên Linux và macOS, nó thực thi payload stealer thông qua exec().

Socket giải thích thêm, vì tệp ‘src/helpers.php’ này được đăng ký trong composer.json dưới autoload.files, backdoor sẽ tự động thực thi trên mỗi yêu cầu PHP được xử lý bởi ứng dụng bị xâm nhập. Script tạo ra một dấu hiệu duy nhất cho mỗi máy chủ (một hash MD5 kết hợp đường dẫn thư mục, kiến trúc hệ thống và inode) để đảm bảo payload chỉ kích hoạt một lần cho mỗi máy. Điều này ngăn chặn việc thực thi dư thừa và giúp malware không bị phát hiện sau lần chạy ban đầu.

Mã độc stealer được trang bị để thu thập nhiều loại dữ liệu từ các hệ thống bị xâm nhập và gửi chúng về cùng một server. Các dữ liệu này bao gồm:

  • Các vai trò IAM và tài liệu nhận dạng instance bằng cách truy vấn các endpoint metadata của cloud.
  • Thông tin xác thực mặc định của ứng dụng Google Cloud.
  • Access token và hồ sơ service principal của Microsoft Azure.
  • Kubernetes Service Account token và cấu hình Helm registry.
  • Token xác thực cho DigitalOcean, Heroku, Vercel, Netlify, Railway và Fly.io.
  • Token HashiCorp Vault.
  • Token và cấu hình từ Jenkins, GitLab Runners, GitHub Actions, CircleCI, TravisCI và ArgoCD.
  • Seed phrase và các tệp liên quan đến ví tiền điện tử (Electrum, Exodus, Atomic, Ledger Live, Trezor, Wasabi và Sparrow) và tiện ích mở rộng (MetaMask, Phantom, Trust Wallet, Ronin, Keplr, Solflare và Rabby).
  • Lịch sử duyệt web, cookie và dữ liệu đăng nhập từ Google Chrome, Microsoft Edge, Mozilla Firefox, Brave và Opera bằng cách sử dụng một tệp thực thi Windows được nhúng mã hóa Base64 để bypass các biện pháp bảo vệ mã hóa app-bound (ABE) của Chromium.
  • Dữ liệu vault cục bộ và tiện ích mở rộng trình duyệt cho 1Password, Bitwarden, LastPass, KeePass, Dashlane và NordPass.
  • Các phiên PuTTY/WinSCP đã lưu.
  • Dumps của Windows Credential Manager.
  • Các tệp RDP.
  • Token phiên liên quan đến các ứng dụng như Discord, Slack và Telegram.
  • Dữ liệu từ Microsoft Outlook, Thunderbird và các FTP client phổ biến (FileZilla, WinSCP và CoreFTP).
  • Các tệp cấu hình và thông tin xác thực chứa Docker auth token, SSH private key, Git credential, tệp lịch sử shell, tệp lịch sử cơ sở dữ liệu, cấu hình cluster Kubernetes, tệp .env, wp-config.php và docker-compose.yml.
  • Các biến môi trường được tải vào quá trình PHP.
  • Thông tin xác thực kiểm soát nguồn từ các tệp .gitconfig toàn cục và cục bộ, .git-credentials và .netrc.
  • Cấu hình VPN và các tệp đăng nhập đã lưu cho OpenVPN, WireGuard, NetworkManager và các VPN thương mại như NordVPN, ExpressVPN, CyberGhost và Mullvad.

Nhà nghiên cứu Ilyas Makari của Aikido cho biết, payload được tải về là một mã độc đánh cắp thông tin PHP dài khoảng 5.900 dòng, được tổ chức thành mười lăm module thu thập chuyên biệt. Sau khi thu thập mọi thứ có thể tìm thấy, nó mã hóa kết quả bằng AES-256 và gửi chúng đến flipboxstudio[.]info/exfil. Sau đó, nó tự xóa khỏi đĩa để hạn chế bằng chứng pháp y.

Nguồn tham khảo: The Hacker News

Nguyen Hung

Nguyen Hung

Keep in touch with our news & offers

Subscribe to Our Newsletter

What to read next...

Comments

Leave a Reply

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *