Yeni Yazılım Tedarik Zinciri Saldırısı
Son günlerde, Laravel-Lang’a ait birden fazla PHP paketini hedef alan yeni bir yazılım tedarik zinciri saldırısı rapor edilmiştir. Bu saldırı, kullanıcı bilgilerini çalmaya yönelik kapsamlı bir çerçeve sunmaktadır ve büyük bir tehlike oluşturmaktadır.
Etkilenen Paketler
Etkilenen paketler şunlardır:
- laravel-lang/lang
- laravel-lang/http-statuses
- laravel-lang/attributes
- laravel-lang/actions
Saldırı, Mayıs 22 ve 23, 2026 tarihlerinde hızla yayınlanan etiketlerle geniş bir Laravel Lang organizasyonu sürecine sızma gösteriyor. Toplamda 700’den fazla versiyon belirlenmiş olup bu durum, otomatik kütükleme veya yeniden yayınlamanın bir sonucu olabileceğini göstermektedir.
Saldırı Nasıl Çalışıyor?
Saldırının temel kötü amaçlı fonksiyonu, etiketlere gömülü src/helpers.php adlı dosyada yer almaktadır. Bu dosya, enfekte olan makinenin parmak izi almayı ve dış bir sunucuya (flipboxstudio[.]info) PHP tabanlı çoklu platform yüklemesi indirmeyi amaçlıyor. Windows üzerinde, Visual Basic Script başlatıcısı kullanarak çalışmakta; Linux ve macOS üzerinde ise exec() komutunu kullanarak yüklemeyi yürütmektedir.
Dosya, composer.json dosyasının autoload.files alanında tanımlandığı için, enfekte uygulama tarafından her PHP talebinde otomatik olarak çalıştırılmaktadır.
Kötü amaçlı yazılım, yalnızca bir kez tetiklenecek şekilde her makineye özel bir joker oluşturmakta ve böylece yeniden çalışmasını engellemektedir.
Veri Çalma Kapasitesi
Bu kötü amaçlı yazılım, enfekte sistemlerden çok sayıda veriyi çalmaya ve bunları dış sunucuya göndermeye yetkindir. Çalınan veriler arasında şunlar bulunmaktadır:
- IAM rolleri ve bulut metadata uç noktaları
- Google Cloud varsayılan uygulama kimlik bilgileri
- Microsoft Azure erişim tokenleri
- Kubernetes servis hesabı tokenleri
- Çeşitli bulut platformlarına ait kimlik bilgileri
- Tarayıcı geçmişi, çerezler ve Google Chrome, Microsoft Edge, Mozilla Firefox gibi tarayıcılara ait giriş verileri
- Üçüncü parti uygulamaların (Discord, Slack vb.) oturum belirteçleri
- SSH özel anahtarları ve Docker kimlik bilgileri
- Çeşitli VPN yapılandırma dosyaları
Kötü amaçlı yazılım, çaldığı verileri AES-256 ile şifreleyerek flipboxstudio[.]info/exfil adresine göndermektedir ve delil bırakmamak adına kendisini diskten silmektedir.
Çözüm ve Korunma
Bu tür bir saldırıdan korunmak için, şu adımları izleyebilirsiniz:
- PHP paketlerinizi derhal güncelleyin.
- Güvenlik yamalarını ve en güncel sürümleri kullanmaya özen gösterin.
- Otomatik güncelleme ve izleme sistemlerinizi gözden geçirin.
- Şüpheli veya bilinmeyen kaynaklardan gelen paketleri yüklemekten kaçının.
- Güvenliğinizi artırmak için güvenlik araçları ve izleme yazılımları kullanın.
Unutmayın, düzenli güncellemeler ve dikkatli davranışlar, siber saldırılardan korunmanın en etkili yollarından biridir.
