Supply-Chain-AttackenMalwareCyberkriminalität

Laravel-Lang-Pakete kompromittiert: Massive Supply-Chain-Attacke mit plattformübergreifendem Credential-Stealer

Von CyberDeutsch Redaktion
Laravel-Lang-Pakete kompromittiert: Massive Supply-Chain-Attacke mit plattformübergreifendem Credential-Stealer
Zusammenfassung

Ein massiver Supply-Chain-Angriff auf mehrere PHP-Pakete der Laravel-Lang-Organisation hat Sicherheitsforscher aufgeschreckt. Die Angreifer haben es geschafft, über 700 Versionen verschiedener Pakete mit einer umfassenden Credential-Stealing-Malware zu infizieren. Das Besondere an diesem Angriff: Die Schadsoftware wird automatisch beim Start jeder Laravel-Anwendung ausgeführt, da die bösartige Datei „src/helpers.php" in der Autoload-Konfiguration registriert ist – ohne dass ein Entwickler etwas besonderes tun muss. Die Malware sammelt systematisch sensible Daten wie SSH-Schlüssel, Datenbank-Credentials und AWS-Tokens und sendet diese verschlüsselt an externe Server. Betroffen sind möglicherweise Tausende deutsche Entwickler und Unternehmen, die Laravel und die betroffenen Sprachpakete nutzen. Für deutsche IT-Teams und Betriebe ist dies kritisch, da viele Web-Anwendungen und Dienste auf PHP und Laravel basieren. Die breite Kompromittierung der Laravel-Lang-Organisation deutet darauf hin, dass Angreifer Zugang zu zentralen Freigabeprozessen erhalten haben. Dies unterstreicht die wachsende Gefahr von Supply-Chain-Attacken für die deutsche Tech-Infrastruktur und macht schnelle Updates sowie eine genaue Überprüfung der Abhängigkeiten essentiell.

Die Analyse von Sicherheitsunternehmen wie Socket, StepSecurity und Aikido Security offenbart eine ausgefeilte und automatisierte Attacke. Die kompromittierten Pakete wurden in rapider Abfolge veröffentlicht – viele Versionen entstanden nur Sekunden auseinander. Dies deutet stark darauf hin, dass der Angreifer nicht nur einzelne Pakete manipulierte, sondern Zugriff auf die zentrale Release-Infrastruktur der Laravel-Lang-Organisation hatte.

Das technische Gerüst der Attacke ist bemerkenswert präzise. Der bösartige Code befindet sich in der Datei “src/helpers.php”, die direkt in der composer.json unter dem Abschnitt “autoload.files” registriert ist. Da jede PHP-Anwendung beim Start automatisch vendor/autoload.php lädt – unabhängig davon, ob sie Laravel, Symfony, PHPUnit oder ein anderes Framework nutzt – wird der Payload ausgeführt, bevor die Anwendung ihre Geschäftslogik startet. Kein expliziter Funktionsaufruf ist nötig.

Um Erkennung zu vermeiden, generiert das Schadprogramm einen eindeutigen Hash pro System basierend auf dem Verzeichnispfad, der Systemarchitektur und dem Inode. Dies stellt sicher, dass sich die Malware nur einmal pro Maschine aktiviert und bei wiederholten Neustarts verborgen bleibt.

Die eigentliche Stealer-Komponente ist ein etwa 5.900 Zeilen langer PHP-Code mit 15 spezialisierten Datensammler-Modulen. Das Skript ist in der Lage, eine breite Palette sensibler Daten zu exfiltrieren: SSH-Schlüssel, Datenbank-Anmeldedaten, API-Token, Browser-Cookies, Wallet-Daten und weitere persönliche Informationen. Nach der Datensammlung werden alle Ergebnisse mit AES-256 verschlüsselt und an flipboxstudio[.]info/exfil übertragen. Anschließend löscht sich die Malware selbst vom System, um forensische Spuren zu minimieren.

Unter Windows wird ein Visual-Basic-Script-Launcher über cscript ausgeführt, während auf Linux und macOS die Payload direkt mittels exec() lädt. Diesen Cross-Platform-Ansatz zeigt eine hohe Raffinesse des Angreifers.

Für deutsche Entwickler und Unternehmen ist rasches Handeln erforderlich: Alle Dependencies sollten überprüft werden, und betroffene Systeme müssen isoliert sowie auf Kompromittierung untersucht werden. Das BSI empfiehlt, solche Vorfälle zu dokumentieren und unter Umständen der Meldepflicht nachzukommen.

Ähnliche Artikel