🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética sinalizaram uma nova campanha de ataque à cadeia de suprimentos de software que teve como alvo vários pacotes PHP pertencentes ao Laravel-Lang para fornecer uma estrutura abrangente de roubo de credenciais.
Os pacotes afetados incluem -
laravel-lang/lang
laravel-lang/status http
laravel-lang/atributos
laravel-lang/ações
“O momento e o padrão das tags recém-publicadas apontam para um comprometimento mais amplo do processo de lançamento da organização Laravel Lang, em vez de uma única versão de pacote malicioso”, disse Socket. “As tags foram publicadas em rápida sucessão em 22 e 23 de maio de 2026, com muitas versões aparecendo com apenas alguns segundos de intervalo.”
Mais de 700 versões associadas a esses pacotes foram identificadas, indicando marcação em massa automatizada ou republicação. Suspeita-se que o invasor tenha conseguido obter acesso a credenciais em nível de organização, automação de repositório ou infraestrutura de lançamento.
A principal funcionalidade maliciosa está localizada em um arquivo chamado “src/helpers.php” que está incorporado nas tags de versão. Ele foi projetado principalmente para capturar a impressão digital do host infectado e entrar em contato com um servidor externo ("flipboxstudio[.]info") para recuperar uma carga útil de plataforma cruzada baseada em PHP que roda em Windows, Linux e macOS.
De acordo com a Aikido Security, o dropper fornece um iniciador de script Visual Basic no Windows e o executa via cscript. No Linux e no macOS, ele executa a carga do ladrão via exec().
“Como este arquivo ['src/helpers.php'] está registrado no compositor.json em autoload.files, o backdoor é executado automaticamente em cada solicitação PHP tratada pelo aplicativo comprometido”, explicou Socket.
"O script gera um marcador exclusivo por host (um hash MD5 combinando o caminho do diretório, a arquitetura do sistema e o inode) para garantir que a carga útil seja acionada apenas uma vez por máquina. Isso evita execuções redundantes e ajuda o malware a permanecer sem ser detectado após a execução inicial."
O ladrão está equipado para coletar uma ampla gama de dados de sistemas comprometidos e exfiltrá-los para o mesmo servidor. Isso inclui -
Funções do IAM e documentos de identidade de instância consultando endpoints de metadados na nuvem
Credenciais padrão do aplicativo Google Cloud
Tokens de acesso e perfis principais de serviço do Microsoft Azure
Tokens da conta de serviço do Kubernetes e configurações de registro do Helm
Tokens de autenticação para DigitalOcean, Heroku, Vercel, Netlify, Railway e Fly.io
Tokens do cofre HashiCorp
Tokens e configurações de Jenkins, GitLab Runners, GitHub Actions, CircleCI, TravisCI e ArgoCD
Frases-semente e arquivos associados a carteiras de criptomoedas (Electrum, Exodus, Atomic, Ledger Live, Trezor, Wasabi e Sparrow) e extensões (MetaMask, Phantom, Trust Wallet, Ronin, Keplr, Solflare e Rabby)
Histórico do navegador, cookies e dados de login do Google Chrome, Microsoft Edge, Mozilla Firefox, Brave e Opera usando um executável do Windows incorporado codificado em Base64 que ignora as proteções de criptografia vinculada ao aplicativo (ABE) do Chromium
Cofres locais e dados de extensão de navegador para 1Password, Bitwarden, LastPass, KeePass, Dashlane e NordPass
Sessões salvas do PuTTY/WinSCP
Despejos do Gerenciador de Credenciais do Windows
Sessões salvas do WinSCP
Arquivos RDP
Tokens de sessão associados a aplicativos como Discord, Slack e Telegram
Dados do Microsoft Outlook, Thunderbird e clientes FTP populares (FileZilla, WinSCP e CoreFTP)
Arquivos de configuração e credenciais contendo tokens de autenticação Docker, chaves privadas SSH, credenciais Git, arquivos de histórico de shell, arquivos de histórico de banco de dados, configurações de cluster Kubernetes, arquivos .env, wp-config.php e docker-compose.yml
Variáveis de ambiente carregadas no processo PHP
Credenciais de controle de origem de arquivos .gitconfig globais e locais, .git-credentials e arquivos .netrc
Configuração de VPN e arquivos de login salvos para OpenVPN, WireGuard, NetworkManager e VPNs comerciais como NordVPN, ExpressVPN, CyberGhost e Mullvad
“A carga útil obtida é um ladrão de credenciais PHP de aproximadamente 5.900 linhas, organizado em quinze módulos coletores especializados”, disse o pesquisador de Aikido Ilyas Makari. "Depois de coletar tudo o que pode encontrar, ele criptografa os resultados com AES-256 e os envia para flipboxstudio[.]info/exfil. Em seguida, ele se exclui do disco para limitar as evidências forenses."
Os pacotes afetados incluem -
laravel-lang/lang
laravel-lang/status http
laravel-lang/atributos
laravel-lang/ações
“O momento e o padrão das tags recém-publicadas apontam para um comprometimento mais amplo do processo de lançamento da organização Laravel Lang, em vez de uma única versão de pacote malicioso”, disse Socket. “As tags foram publicadas em rápida sucessão em 22 e 23 de maio de 2026, com muitas versões aparecendo com apenas alguns segundos de intervalo.”
Mais de 700 versões associadas a esses pacotes foram identificadas, indicando marcação em massa automatizada ou republicação. Suspeita-se que o invasor tenha conseguido obter acesso a credenciais em nível de organização, automação de repositório ou infraestrutura de lançamento.
A principal funcionalidade maliciosa está localizada em um arquivo chamado “src/helpers.php” que está incorporado nas tags de versão. Ele foi projetado principalmente para capturar a impressão digital do host infectado e entrar em contato com um servidor externo ("flipboxstudio[.]info") para recuperar uma carga útil de plataforma cruzada baseada em PHP que roda em Windows, Linux e macOS.
De acordo com a Aikido Security, o dropper fornece um iniciador de script Visual Basic no Windows e o executa via cscript. No Linux e no macOS, ele executa a carga do ladrão via exec().
“Como este arquivo ['src/helpers.php'] está registrado no compositor.json em autoload.files, o backdoor é executado automaticamente em cada solicitação PHP tratada pelo aplicativo comprometido”, explicou Socket.
"O script gera um marcador exclusivo por host (um hash MD5 combinando o caminho do diretório, a arquitetura do sistema e o inode) para garantir que a carga útil seja acionada apenas uma vez por máquina. Isso evita execuções redundantes e ajuda o malware a permanecer sem ser detectado após a execução inicial."
O ladrão está equipado para coletar uma ampla gama de dados de sistemas comprometidos e exfiltrá-los para o mesmo servidor. Isso inclui -
Funções do IAM e documentos de identidade de instância consultando endpoints de metadados na nuvem
Credenciais padrão do aplicativo Google Cloud
Tokens de acesso e perfis principais de serviço do Microsoft Azure
Tokens da conta de serviço do Kubernetes e configurações de registro do Helm
Tokens de autenticação para DigitalOcean, Heroku, Vercel, Netlify, Railway e Fly.io
Tokens do cofre HashiCorp
Tokens e configurações de Jenkins, GitLab Runners, GitHub Actions, CircleCI, TravisCI e ArgoCD
Frases-semente e arquivos associados a carteiras de criptomoedas (Electrum, Exodus, Atomic, Ledger Live, Trezor, Wasabi e Sparrow) e extensões (MetaMask, Phantom, Trust Wallet, Ronin, Keplr, Solflare e Rabby)
Histórico do navegador, cookies e dados de login do Google Chrome, Microsoft Edge, Mozilla Firefox, Brave e Opera usando um executável do Windows incorporado codificado em Base64 que ignora as proteções de criptografia vinculada ao aplicativo (ABE) do Chromium
Cofres locais e dados de extensão de navegador para 1Password, Bitwarden, LastPass, KeePass, Dashlane e NordPass
Sessões salvas do PuTTY/WinSCP
Despejos do Gerenciador de Credenciais do Windows
Sessões salvas do WinSCP
Arquivos RDP
Tokens de sessão associados a aplicativos como Discord, Slack e Telegram
Dados do Microsoft Outlook, Thunderbird e clientes FTP populares (FileZilla, WinSCP e CoreFTP)
Arquivos de configuração e credenciais contendo tokens de autenticação Docker, chaves privadas SSH, credenciais Git, arquivos de histórico de shell, arquivos de histórico de banco de dados, configurações de cluster Kubernetes, arquivos .env, wp-config.php e docker-compose.yml
Variáveis de ambiente carregadas no processo PHP
Credenciais de controle de origem de arquivos .gitconfig globais e locais, .git-credentials e arquivos .netrc
Configuração de VPN e arquivos de login salvos para OpenVPN, WireGuard, NetworkManager e VPNs comerciais como NordVPN, ExpressVPN, CyberGhost e Mullvad
“A carga útil obtida é um ladrão de credenciais PHP de aproximadamente 5.900 linhas, organizado em quinze módulos coletores especializados”, disse o pesquisador de Aikido Ilyas Makari. "Depois de coletar tudo o que pode encontrar, ele criptografa os resultados com AES-256 e os envia para flipboxstudio[.]info/exfil. Em seguida, ele se exclui do disco para limitar as evidências forenses."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pacotes #laravellang #php #comprometidos #para #fornecer #ladrão #de #credenciais #multiplataforma
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário