Laravel-Lang PHP 패키지, 다중 플랫폼 자격증명 탈취기로 변조
출처: The Hacker News
Ravie Lakshmanan2026년 5월 23일 공급망 공격 / 악성코드
보안 연구원들은 Laravel‑Lang 소속 여러 PHP 패키지를 표적으로 삼아 포괄적인 자격 증명 탈취 프레임워크를 전달하는 새로운 소프트웨어 공급망 공격 캠페인을 확인했습니다.
영향을 받은 패키지는 다음과 같습니다.
laravel-lang/langlaravel-lang/http-statuseslaravel-lang/attributeslaravel-lang/actions
Socket은 “새로 게시된 태그들의 시점과 패턴을 보면 Laravel Lang 조직의 릴리스 프로세스 전체가 타협된 것으로 보이며, 단일 악성 패키지 버전만이 문제인 것은 아니다”라고 밝혔습니다. “태그들은 2026년 5월 22일과 23일에 연속적으로 빠르게 게시되었으며, 많은 버전이 몇 초 차이로 나타났습니다.”출처
이와 관련된 700개가 넘는 버전이 확인되었으며, 이는 자동화된 대량 태깅 또는 재배포를 의미합니다. 공격자는 조직 수준의 자격 증명, 저장소 자동화, 혹은 릴리스 인프라에 접근했을 가능성이 있습니다.
악성 기능의 핵심은 버전 태그에 삽입된 src/helpers.php 파일에 들어 있습니다. 이 파일은 감염된 호스트를 식별하고 외부 서버(flipboxstudio[.]info)에 연락해 Windows, Linux, macOS에서 동작하는 PHP 기반 크로스‑플랫폼 페이로드를 받아옵니다.
Aikido Security에 따르면, 드롭퍼는 Windows에서 Visual Basic Script 런처를 전달하고 cscript를 통해 실행합니다. Linux와 macOS에서는 exec()을 이용해 스틸러 페이로드를 실행합니다.
Socket은 “src/helpers.php 파일이 composer.json의 autoload.files에 등록돼 있기 때문에, 해당 파일이 포함된 애플리케이션이 처리하는 모든 PHP 요청 시 백도어가 자동으로 실행된다”고 설명했습니다.
“스크립트는 디렉터리 경로, 시스템 아키텍처, inode를 결합한 MD5 해시를 이용해 호스트마다 고유한 마커를 생성한다. 이를 통해 페이로드는 머신당 한 번만 실행되며, 중복 실행을 방지하고 초기 실행 이후 악성코드가 탐지되지 않도록 만든다.”
스틸러는 침해된 시스템에서 다양한 데이터를 수집해 동일한 서버로 유출합니다. 수집 대상은 다음과 같습니다.
- 클라우드 메타데이터 엔드포인트를 조회해 얻는 IAM 역할 및 인스턴스 신원 문서
- Google Cloud 애플리케이션 기본 자격 증명
- Microsoft Azure 액세스 토큰 및 서비스 프린시플 프로필
- Kubernetes 서비스 어카운트 토큰 및 Helm 레지스트리 설정
- DigitalOcean, Heroku, Vercel, Netlify, Railway, Fly.io 인증 토큰
- HashiCorp Vault 토큰
- Jenkins, GitLab Runner, GitHub Actions, CircleCI, TravisCI, ArgoCD 토큰 및 설정
- 암호화폐 지갑( Electrum, Exodus, Atomic, Ledger Live, Trezor, Wasabi, Sparrow) 및 브라우저 확장(MetaMask, Phantom, Trust Wallet, Ronin, Keplr, Solflare, Rabby) 관련 시드 구문 및 파일
- Google Chrome, Microsoft Edge, Mozilla Firefox, Brave, Opera의 브라우저 기록, 쿠키, 로그인 데이터. 이는 Chromium의 앱 바인드 암호화를 우회하는 Base64‑인코딩된 Windows 실행 파일을 사용해 추출(ABE)
- 1Password, Bitwarden, LastPass, KeePass, Dashlane, NordPass의 로컬 금고 및 브라우저 확장 데이터
- PuTTY/WinSCP 저장 세션
- Windows Credential Manager 덤프
- WinSCP 저장 세션
- RDP 파일
- Discord, Slack, Telegram 등 애플리케이션의 세션 토큰
- Microsoft Outlook, Thunderbird 및 주요 FTP 클라이언트(FileZilla, WinSCP, CoreFTP) 데이터
- Docker 인증 토큰, SSH 개인 키, Git 자격 증명, 쉘 히스토리, 데이터베이스 히스토리, Kubernetes 클러스터 설정,
.env파일,wp-config.php,docker-compose.yml등 설정 및 자격 증명 파일 - PHP 프로세스에 로드된 환경 변수
- 전역·로컬
.gitconfig,.git-credentials,.netrc파일에 저장된 소스 컨트롤 자격 증명 - OpenVPN, WireGuard, NetworkManager 및 NordVPN, ExpressVPN, CyberGhost, Mullvad 등 상용 VPN의 설정 및 저장 로그인 파일
Aikido 연구원 Ilyas Makari는 “가져온 페이로드는 약 5,900줄에 달하는 PHP 기반 자격 증명 스틸러이며, 15개의 전문 수집 모듈로 구성돼 있다”고 설명했습니다. “모든 정보를 수집한 뒤 AES‑256으로 암호화하여 flipboxstudio[.]info/exfil 로 전송한다. 이후 디스크에서 자체 삭제해 포렌식 증거를 최소화한다.”출처
이 기사가 흥미로우셨나요? 더 많은 독점 콘텐츠를 보려면 Google News, Twitter 및 LinkedIn을 팔로우하세요.