Los investigadores de ciberseguridad han advertido sobre una nueva campaña de ataque a la cadena de suministro de software dirigida a múltiples paquetes PHP pertenecientes a Laravel-Lang para proporcionar un marco integral de robo de credenciales.
Los paquetes afectados incluyen:
laravel-lang/lang laravel-lang/http-status laravel-lang/atributos laravel-lang/acciones
«El momento y el patrón de las etiquetas recientemente publicadas indican un compromiso más amplio del proceso de lanzamiento de la organización Laravel Lang, en lugar de una única versión de paquete malicioso», dijo Socket. «Las etiquetas se publicaron en rápida sucesión el 22 y 23 de mayo de 2026, y muchas versiones se publicaron con solo unos segundos de diferencia».
Se han identificado más de 700 versiones asociadas con estos paquetes, lo que indica una gran cantidad de etiquetado o republicación automatizada. Se sospecha que los atacantes pueden haber obtenido acceso a credenciales a nivel de organización, automatización de repositorios o infraestructura de lanzamiento.
La principal funcionalidad maliciosa se encuentra en un archivo llamado «src/helpers.php» incrustado en la etiqueta de versión. Está diseñado principalmente para obtener una huella digital de un host infectado y conectarse a un servidor externo (‘flipboxstudio(.)info’) para obtener una carga útil multiplataforma basada en PHP que se ejecuta en Windows, Linux y macOS.
Según Aikido Security, este dropper proporciona un iniciador de Visual Basic Script en Windows y se ejecuta mediante cscript. En Linux y macOS, ejecute cargas útiles de ladrón mediante exec().
«Este archivo (‘src/helpers.php’) está registrado en Composer.json bajo autoload.files, por lo que la puerta trasera se ejecuta automáticamente en cada solicitud PHP manejada por la aplicación comprometida», explicó Socket.
«Este script genera un marcador único para cada host (un hash MD5 que combina la ruta del directorio, la arquitectura del sistema y el inodo) para garantizar que la carga útil solo se active una vez por máquina. Esto evita la ejecución redundante y permite que el malware permanezca sin ser detectado después de la primera ejecución».
Este ladrón tiene la capacidad de recopilar una amplia gama de datos de un sistema comprometido y filtrarlos al mismo servidor. Esto incluye –
Roles de IAM e ID de instancia mediante consultas de metadatos en la nube Documentación de puntos finales Credenciales predeterminadas para aplicaciones de Google Cloud Tokens de acceso de Microsoft Azure y perfiles principales de servicio Tokens de cuenta de servicio de Kubernetes y configuración de registro Helm Tokens de autenticación para DigitalOcean, Heraku, Vercel, Netlify, Railway, Fly.io HashiCorp Vault Tokens Jenkins, GitLab Runners, GitHub Tokens y acciones de configuración de CircleCI, TravisCI, ArgoCD Frases semilla y archivos asociados con carteras de criptomonedas (Electrum, Exodus, Atomic, Ledger Live, Trezor, Wasabi, Sparrow) y extensiones (MetaMask, Phantom, Trust Wallet, Ronin, Keplr, Solflare, Rabby) Google Chrome, Microsoft Edge, Mozilla Firefox, Brave, historial del navegador Opera, cookies y datos de inicio de sesión Uso de ejecutables de Windows integrados codificados en Base64 que evitan el enlace de aplicaciones de Chromium Protección de cifrado (ABE) Datos de extensión de navegador y bóveda local para sesiones guardadas de 1Password, Bitwarden, LastPass, KeePass, Dashlane y NordPass PuTTY/WinSCP Volcar sesiones guardadas de WinSCP de Windows Credential Manager Archivos RDP Tokens de sesión asociados con aplicaciones como Discord, Slack y Telegram Datos de Microsoft Outlook, Thunderbird y clientes FTP populares (FileZilla, WinSCP y CoreFTP) Archivos de configuración y credenciales que incluyen tokens de autenticación de Docker, claves privadas SSH, credenciales de Git, archivos de historial de shell, archivos de historial de bases de datos, configuración de clúster de Kubernetes, archivos .env, wp-config.php y docker-compose.yml Variables de entorno PHP cargadas en el proceso Credenciales de control de fuente de archivos .gitconfig globales y locales, archivos .git-credentials y .netrc Configuración de VPN y archivos de inicio de sesión guardados para OpenVPN, WireGuard, NetworkManager y VPN comerciales como NordVPN, ExpressVPN, CyberGhost y Mullvad
«La carga útil recuperada es de aproximadamente 5.900 líneas de ladrón de credenciales PHP organizadas en 15 módulos recopiladores especializados», dijo el investigador de Aikido Ilyas Makari. «Después de recopilar todo lo que encuentra, cifra los resultados con AES-256 y los envía a flipboxstudio(.)info/exfil. Luego se elimina del disco para limitar la evidencia forense».
Source link
