Un ataque a paquetes de Laravel Lang distribuyó código malicioso capaz de robar claves y datos sensibles.
Un ataque informático afectó a varios paquetes de Laravel Lang, una colección de traducciones para proyectos hechos con Laravel. No son paquetes oficiales de Laravel, pero muchos desarrolladores los usan para poner sus aplicaciones en varios idiomas.
Los atacantes no cambiaron el código principal de forma normal. Usaron etiquetas de GitHub para que versiones antiguas parecieran correctas, pero llevaran a código malicioso. Así, al instalar con Composer, una persona podía recibir el paquete peligroso sin darse cuenta.
StepSecurity, Aikido Security y Socket avisaron del problema. Los paquetes afectados fueron laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes y, posiblemente, laravel-lang/actions. Aikido habló de 233 versiones afectadas. Socket dijo que podían ser unas 700 versiones históricas.
El código añadía un archivo llamado helpers.php. Ese archivo descargaba otro programa desde flipboxstudio[.]info, un servidor de los atacantes. El malware podía buscar credenciales en Linux, macOS y Windows: claves de nube, secretos de Kubernetes, tokens, datos de Git, claves SSH, archivos .env, datos de navegadores y carteras de criptomonedas.
Packagist retiró las versiones peligrosas y ocultó temporalmente los paquetes. Los desarrolladores deben revisar sus instalaciones, cambiar claves que puedan estar expuestas, buscar señales del ataque y comprobar conexiones antiguas con ese servidor.
Basado en: Lawrence Abrams, BleepingComputer