حزم Laravel-Lang تم تسميمها ببرمجيات خبيثة
Read, Watch or Listen
United States-based security researchers reported that four popular Laravel-Lang Composer packages were surreptitiously poisoned with malware after attackers manipulated Git tags to redirect users to malicious code, according to a SecurityWeek article published Monday. The affected PHP localization libraries are laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes, and laravel-lang/actions, which are widely used by Laravel applications. Investigators from StepSecurity, Socket, and Aikido Security said the attack began on May 22, when attackers rewrote version tags across hundreds of historical releases to point to attacker-controlled commits in a fork, without altering the official GitHub repositories. By 00:00 UTC on May 23, all four packages had been poisoned, meaning both new installations and routine updates could have pulled in the compromised versions. United States security analysts said the malicious tags introduced a file named src/helpers.php that posed as a normal Laravel localization helper, but instead fingerprinted systems and contacted the command-and-control domain flipboxstudio[.]info to download and run a PHP-based credential stealer. Researchers reported that the malware targeted a wide range of secrets and configuration data on Windows, Linux, and macOS systems, including cloud keys for Amazon Web Services, Google Cloud Platform, and Microsoft Azure, as well as Docker and Kubernetes configurations, HashiCorp Vault tokens, SSH private keys, browser-stored credentials, password manager data, cryptocurrency wallets, communication tools, VPN configurations, CI/CD secrets, .env files, and other sensitive local application files. Security experts advised organizations and individual users to block the affected packages, treat any systems that installed the compromised versions as potentially breached, and rotate exposed credentials and tokens across cloud infrastructure, development environments, and source-control platforms.
Prepared by Jonathan Pierce and reviewed by editorial team.
Timeline of Events
- 22 مايو: يبدأ المهاجمون في إعادة كتابة علامات Git
- 22 مايو: نافذة مدتها خمس عشرة دقيقة تشهد نشرًا خبيثًا
- بحلول 23 مايو الساعة 00:00 بالتوقيت العالمي المنسق: تسميم جميع حزم Laravel-Lang الأربعة
- أواخر مايو 2024: يكتشف باحثون تلاعبًا واسع النطاق بالعلامات
- أواخر مايو 2024: إعادة تسمية أكثر من 700 إصدار تاريخي بشكل خبيث
- أواخر مايو 2024: تؤكد Aikido عدم وجود التزامات رسمية في المستودع
- أواخر مايو 2024: روابط Socket تخترق عملية الإصدار
- الاثنين: تنشر SecurityWeek نتائج أبحاث منسقة
Why This Matters to You
قد تكون تطبيقات Laravel الخاصة بك معرضة للخطر. يمكن للحزم المسمومة سرقة بياناتك الحساسة، من مفاتيح السحابة إلى مفاتيح SSH الخاصة. إذا قمت بتثبيت أو تحديث هذه الحزم منذ 22 مايو، فقد يكون نظامك قد تعرض للخطر. تحقق من تطبيقات Laravel الخاصة بك الآن.
The Bottom Line
هذه الهجمة الخبيثة هي دعوة للاستيقاظ. إنها توضح كيف يمكن للمهاجمين استغلال حتى حزم البرامج المستخدمة على نطاق واسع. كن يقظًا دائمًا فيما يتعلق بالتحديثات والتثبيتات. إذا كنت قد استخدمت حزم Laravel هذه، فقم بتغيير بيانات الاعتماد الخاصة بك وحظر الحزم المتأثرة. تستحق النقل إذا كنت تعرف شخصًا يستخدم Laravel.
- Articles Published:
- 1
- Right Leaning:
- 0
- Left Leaning:
- 0
- Neutral:
- 1
- Distribution:
- Left 0%, Center 100%, Right 0%
غير محدد في المصدر.
غير محدد في المصدر.
Coverage of Story:
From Left
No left-leaning sources found for this story.
From Right
No right-leaning sources found for this story.
Comments