Das Besondere an dem Angriff: Der eigentliche Quellcode des Projekts wurde nicht verändert. Stattdessen missbrauchten die Täter eine GitHub-Funktion, mit der sich Tags auf Commits in Forks desselben Repositories richten lassen. So konnten sie scheinbar legitime Release-Tags veröffentlichen, die in Wahrheit auf bösartige Commits in einem von ihnen kontrollierten Fork verwiesen.

„Statt eine neue bösartige Version zu veröffentlichen, schrieb der Angreifer jeden bestehenden Git-Tag in jedem Repository so um, dass er auf einen neuen bösartigen Commit zeigte", erklärte StepSecurity. Die Umschreibungen begannen demnach um 22:32 UTC beim Paket laravel-lang/lang, das 502 Tags umfasst, und endeten gegen 00:00 UTC bei laravel-lang/actions. Alle vier Repositories teilten dieselbe gefälschte Autorenidentität, dieselben veränderten Dateien und dasselbe Verhalten der Schadlast – für StepSecurity ein nahezu sicheres Indiz, dass ein einzelner Akteur mit einem kompromittierten Zugang und organisationsweitem Schreibrecht am Werk war.

Die manipulierten Releases brachten eine Schaddatei namens „src/helpers.php" mit, die von Composer automatisch geladen wurde. Der eingeschleuste Code wirkte als Dropper und lud eine zweite Schadlast vom Command-and-Control-Server der Angreifer unter flipboxstudio[.]info nach.

Bei dieser nachgeladenen PHP-Komponente handelt es sich laut den Forschern um einen plattformübergreifenden Credential-Stealer für Linux, macOS und Windows. Er sammelt unter anderem Cloud-Zugangsdaten, Kubernetes-Secrets, Vault-Token, Git-Anmeldedaten, CI/CD-Secrets, SSH-Schlüssel, Browserdaten, Kryptowährungs-Wallets, Daten aus Passwortmanagern, VPN-Konfigurationen sowie lokale „.env"-Dateien. Über reguläre Ausdrücke extrahiert die Schadsoftware zudem gezielt AWS-Schlüssel, GitHub-Token, Slack-Token, Stripe-Secrets, Datenbank-Zugangsdaten, JWTs, private SSH-Schlüssel und Wiederherstellungsphrasen für Kryptowährungen aus Dateien und Umgebungsvariablen.

Auf Windows-Systemen entpackt die PHP-Komponente zusätzlich eine in der Datei eingebettete, base64-kodierte ausführbare Datei, legt sie mit zufälligem Namen im Ordner %TEMP% ab und startet sie. Eine Analyse von BleepingComputer zeigt, dass dieser Windows-Infostealer „DebugElevator" heißt und auf Chrome, Brave und Edge zielt; er extrahiert die App-Bound-Encryption-Schlüssel, die zum Entschlüsseln gespeicherter Browser-Zugangsdaten nötig sind. Ein eingebetteter PDB-Pfad verweist auf den Windows-Kontonamen „Mero" und enthält die Zeichenfolge „claude", was darauf hindeuten könnte, dass KI bei der Entwicklung der Windows-Schadsoftware zum Einsatz kam. Sind die sensiblen Daten gesammelt, verschlüsselt die Malware sie und sendet sie an den C2-Server zurück.

Aikido meldete den Vorfall an Packagist, das die bösartigen Versionen rasch entfernte und die betroffenen Pakete vorübergehend aus der Liste nahm, um weitere Installationen zu verhindern. Betroffenen Entwicklern wird geraten, ihre Systeme zudem auf frühere ausgehende Verbindungen zu flipboxstudio[.]info zu prüfen.