Die Attacke richtete sich gegen vier Repositories der Laravel-Lang-Organisation: laravel-lang/lang (das Haupt-Translations-Paket mit 502 Tags), laravel-lang/http-statuses, laravel-lang/attributes und möglicherweise laravel-lang/actions. Nach Angaben von Aikido Security wurden insgesamt 233 Versionen über drei Repositories manipuliert, Socket schätzt die Zahl betroffener historischer Versionen auf etwa 700.
Die technische Besonderheit dieser Attacke liegt darin, dass die Angreifer nicht einfach neue malware-haltige Paketversionen veröffentlichten, sondern eine GitHub-Funktion missbrauchten: Sie rewroten alle existierenden Git-Tags so um, dass diese auf bösartige Commits in einem von ihnen kontrollierten Fork des Repositorys verweisen. Dies täuschte Entwicklern vor, dass sie legitime Release-Versionen installierten, während Composer tatsächlich Malware aus dem kompromittierten Fork herunterlud.
Die Manipulation begann am Freitag um 22:32 UTC gegen laravel-lang/lang und war um 00:00 UTC bei laravel-lang/actions abgeschlossen. Alle vier betroffenen Repositories zeigen die gleiche gefälschte Autor-Identität, identische manipulierte Dateien und gleiches Malware-Verhalten — starke Hinweise auf einen einzelnen Angreifer mit Organisations-weitem Push-Zugriff.
Die Malware selbst ist äußerst sophisticated: Die injizierte Datei ‘src/helpers.php’ wird durch Composer automatisch geladen und fungiert als Downloader für eine zweite Payload vom Command-and-Control-Server flipboxstudio[.]info. Das nachgeladene PHP-Skript ist ein plattformübergreifender Credential-Stealer für Linux, macOS und Windows, der systematisch Cloud-Credentials, Kubernetes-Secrets, Vault-Tokens, Git-Credentials, CI/CD-Secrets, SSH-Schlüssel, Browser-Daten, Kryptowallet-Keys, Password-Manager-Inhalte, VPN-Konfigurationen und lokale .env-Dateien sammelt.
Das Malware-Modul enthält Regex-Muster zur Extraktion spezifischer Secrets: AWS-Schlüssel, GitHub-Token, Slack-Token, Stripe-Secrets, Datenbank-Credentials, JWTs, SSH-Private-Keys und Kryptowallet-Recovery-Phrasen. Auf Windows-Systemen wird zusätzlich ein eingebettetes Executable namens ‘DebugElevator’ aktiviert, das gezielt Browser-Credentials aus Chrome, Brave und Edge mittels App-Bound-Encryption-Keys ausliest. Eine PDB-Pfad-Referenz deutet auf den Windows-Benutzer ‘Mero’ hin und erwähnt ‘claude’ — möglicherweise ein Hinweis auf KI-gestützte Malware-Entwicklung.
Nach Datenexfiltration verschlüsselt die Malware alle gestohlenen Informationen und sendet sie zum C2-Server zurück. Packagist und die Sicherheitsfirmen reagierten schnell: Die betroffenen Versionen wurden entfernt und die Pakete temporär gelistet, um weitere Installationen zu verhindern.
Deutsche Entwickler sollten sofort installierte Versionen dieser Pakete überprüfen, alle potenziell exponierten Credentials rotieren, Systeme auf Indikatoren einer Kompromittierung untersuchen und historische Netzwerk-Verbindungen zu flipboxstudio[.]info überprüfen.