هک پکیج‌های Laravel Lang؛ تزریق بدافزار سرقت اطلاعات از طریق دست‌کاری تگ‌های گیت‌هاب

سجاد تیموری 2 روز پیشآخرین بروزرسانی: خرداد ۳, ۱۴۰۵

۰ 5 زمان تقریبی مطالعه 2 دقیقه

هک پکیج‌های Laravel Lang؛ تزریق بدافزار سرقت اطلاعات از طریق دست‌کاری تگ‌های گیت‌هاب — در یک حمله زنجیره تأمین پیچیده، مهاجمان با سوءاستفاده از قابلیت تگ‌گذاری در گیت‌هاب، پکیج‌های بومی‌سازی پروژه «Laravel Lang» را آلوده کردند.

در یک حمله زنجیره تأمین پیچیده، مهاجمان با سوءاستفاده از قابلیت تگ‌گذاری در گیت‌هاب، پکیج‌های بومی‌سازی پروژه «Laravel Lang» را آلوده کرده و توسعه‌دهندگان را هدف بدافزار سرقت اطلاعات قرار دادند.

شرکت‌های امنیتی StepSecurity، Aikido Security و Socket در گزارش‌های جداگانه‌ای اعلام کردند که مهاجمان به جای انتشار نسخه‌های مخرب جدید، اقدام به بازنویسی تگ‌های گیت‌هاب در چهار مخزن متعلق به سازمان Laravel Lang کرده‌اند. پکیج‌های تحت تأثیر عبارتند از: laravel-lang/lang ،laravel-lang/http-statuses ،laravel-lang/attributes و احتمالاً laravel-lang/actions. (لازم به ذکر است که این پکیج‌ها شخص‌ثالث بوده و بخشی از پروژه رسمی لاراول نیستند).

طبق آمار Aikido، مهاجمان بیش از ۲۳۳ نسخه و طبق اعلام Socket تا ۷۰۰ نسخه تاریخی از این پکیج‌ها را تحت تأثیر قرار داده‌اند.

نحوه سوءاستفاده از قابلیت گیت‌هاب

نکته متمایز این حمله، تغییر ندادن سورس‌کد اصلی پروژه بود؛ در عوض، مهاجمان از قابلیتی در گیت‌هاب سوءاستفاده کردند که اجازه می‌دهد «تگ‌ها» به کامیت‌های موجود در یک «Fork» از همان مخزن اشاره کنند. مهاجم با این کار، تگ‌های انتشار قانونی را به کامیت‌های مخربی که در مخزن تحت کنترل خودش میزبانی می‌شد، متصل کرد. در نتیجه، هنگام نصب پکیج از طریق «Composer»، کدهای مخرب به جای نسخه‌های اصلی دانلود و نصب می‌شدند.

عملکرد بدافزار

در نسخه‌های آلوده، فایل src/helpers.php اضافه شده بود که توسط Composer به صورت خودکار بارگذاری می‌شد. این فایل به عنوان یک «Dropper» عمل کرده و بدافزار اصلی را از سرور فرماندهی مهاجمان به آدرس flipboxstudio[.]info دریافت می‌کرد.

بدافزار دریافت شده، یک ابزار قدرتمند سرقت اطلاعات (Infostealer) برای لینوکس، مک و ویندوز است که قادر به سرقت موارد زیر می‌باشد:

اطلاعات ابری و توکن‌های Vault
اطلاعات Kubernetes و CI/CD
کلیدهای SSH، اطلاعات گیت‌هاب و داده‌های مرورگر
کیف پول‌های ارز دیجیتال و تنظیمات VPN
فایل‌های پیکربندی محیطی (.env)

این بدافزار همچنین با استفاده از Regex به دنبال کلیدهای AWS، توکن‌های Slack، Stripe و JWTها می‌گردد. در ویندوز، این بدافزار یک فایل اجرایی با نام DebugElevator را استخراج کرده که علاوه بر سرقت داده‌ها، کلیدهای «App-Bound Encryption» مرورگرها (مانند Chrome و Edge) را برای رمزگشایی اطلاعات ذخیره شده، هدف قرار می‌دهد.

در سیستم‌های ویندوز، این پیلود PHP همچنین یک فایل اجرایی کدگذاری‌شده با base64 را که داخل فایل جاسازی شده است، استخراج می‌کند، آن را با یک نام تصادفی با پسوند ‎.exe در پوشه %TEMP% می‌نویسد و سپس اجرا می‌کند.

مسیر PDB جاسازی‌شده در فایل همچنین به نام حساب کاربری ویندوز Mero اشاره دارد و عبارت claude را در خود دارد که احتمالاً نشان می‌دهد از هوش مصنوعی در توسعه نسخه ویندوزی این بدافزار کمک گرفته شده است:

C:\Users\Mero\OneDrive\Desktop\stuff\claude\Chromium-DebugElevator\x64\Release\DebugChromium.pdb

اقدامات توصیه شده برای توسعه‌دهندگان

سایت Packagist بلافاصله پس از اطلاع، نسخه‌های مخرب را حذف و پکیج‌ها را موقتاً غیرفعال کرد. به تمامی توسعه‌دهندگانی که از این پکیج‌ها استفاده کرده‌اند توصیه می‌شود:

۱. نسخه‌های نصب شده پکیج‌ها را بررسی و در صورت نیاز بروزرسانی کنند.

۲. تمامی اطلاعات حساس و توکن‌های خود را تغییر دهند.

۳. لاگ‌های شبکه را برای شناسایی هرگونه ارتباط خروجی به flipboxstudio[.]info بررسی کنند.