Um ataque sofisticado à cadeia de suprimentos atingiu recentemente o popular ecossistema laravel-lang, visando especificamente o roubo de credenciais confidenciais de desenvolvedores e ambientes de produção. O ataque envolveu a injeção de código malicioso em pacotes de localização amplamente utilizados.

O Incidente

Pesquisadores de segurança da Aikido descobriram que um ator malicioso obteve acesso não autorizado à conta de um mantenedor. Esse acesso foi usado para enviar atualizações para diversos pacotes sob a organização laravel-lang no GitHub. Esses pacotes são essenciais para muitas aplicações Laravel que oferecem suporte a vários idiomas.

Análise Técnica

O malware injetado foi projetado como um "credential stealer" (ladrão de credenciais). Assim que um desenvolvedor atualizava suas dependências via Composer, o script malicioso era executado. Ele buscava especificamente informações sensíveis, como:

• Credenciais de banco de dados (host, usuário, senha)
• Chaves de aplicação (APP_KEY)
• Chaves de API de provedores de nuvem (AWS, Stripe, etc.)
• Variáveis de ambiente armazenadas em arquivos .env

Como se espalhou

Como esses pacotes são frequentemente incluídos como dependências de desenvolvimento ou requisitos principais para internacionalização, o alcance foi significativo. O código malicioso muitas vezes estava ofuscado para burlar ferramentas básicas de análise estática.

Passos para Remediação

Se você estiver usando qualquer pacote do laravel-lang, é fundamental tomar as seguintes medidas imediatamente:

1. Atualize suas dependências: Execute composer update para obter as versões limpas mais recentes lançadas pelos mantenedores.
2. Audite seus logs: Verifique se há solicitações de rede de saída incomuns em seus servidores.
3. Troque suas senhas e chaves: Como precaução, rotacione todas as chaves de API, senhas de banco de dados e segredos de aplicação que estavam presentes em seus arquivos de ambiente.

Este artigo foi escrito originalmente por Ilyas Makari e publicado em Aikido.dev.