Laravel-Lang ekotizimiga uyushtirilgan yirik supply chain kiberhujumi: 700 dan ortiq GitHub repozitoriyalari buzib kirilgani aniqlandi
Dasturchilar va kiberxavfsizlik mutaxassislari orasida jiddiy xavotir uyg‘otayotgan navbatdagi yirik supply chain kiberhujum Laravel ekotizimida aniqlandi. 2026-yil may oyida aniqlangan ushbu murakkab supply chain hujumi natijasida Laravel-Lang paketlarining 233 ta versiyasiga zararli skript kiritilgani hamda yuzlab GitHub repozitoriyalari komprometatsiya qilingani ma’lum bo‘ldi.
Hodisa ilk bor Socket hamda Aikido Security mutaxassislari tomonidan aniqlangan bo‘lib, hujumchilar Composer autoloader mexanizmidan foydalanish orqali dasturchilar tizimiga yashirin “remote code execution” (RCE) orqa eshiklarini joylashtirishga muvaffaq bo‘lgan.
Mazkur hujumning eng xavfli jihati shundaki, tajovuzkorlar GitHub repozitoriylariga to‘g‘ridan-to‘g‘ri zararli commit yubormagan. Buning o‘rniga ular GitHub’ning versiya teglari (tag) tizimini suiiste’mol qilib, qonuniy ko‘rinadigan release teglarini zararli fork repozitoriyalariga yo‘naltirishgan. Natijada dasturchilar odatiy yangilanish deb o‘ylab yuklab olgan Laravel-Lang paketlari orqali zararli kod avtomatik tarzda ishga tushgan.
Hujum qanday amalga oshirilgan?
Laravel-Lang paketlari Packagist orqali o‘rnatilganda Composer’ning autoload.files direktivasi avtomatik ravishda src/helpers.php faylini ishga tushirgan. Aynan shu fayl ichiga zararli kod yashirilgan bo‘lib, u foydalanuvchi tizimida sezilarsiz tarzda faoliyat boshlagan.
Mutaxassislar ta’kidlashicha, zararli skript dastlab tizim haqida ma’lumot yig‘adi:
- qurilma identifikatorlari;
- apparat konfiguratsiyasi;
- operatsion tizim turi;
- server muhiti;
- vaqtinchalik fayllar katalogi.
Shundan so‘ng malware tizimga “marker” fayl joylashtirib, o‘zining qayta-qayta ishga tushishining oldini oladi. Bu esa uning aniqlanish ehtimolini yanada kamaytirgan.
Keyingi bosqichda zararli kod SSL tekshiruvlarini o‘chirib qo‘yadi va yashirin boshqaruv serveridan ikkinchi bosqich payload’ni yuklab oladi. Yuklangan skript operatsion tizimga mos ravishda fon rejimida ishga tushirilgan.
Turli operatsion tizimlarda ishlash mexanizmi
| Operatsion tizim | Ishga tushirish usuli | Imtiyoz darajasi |
|---|---|---|
| Linux | exec("php ...") orqali fon rejimida | Ilova foydalanuvchisi |
| macOS | exec("php ...") orqali fon rejimida | Ilova foydalanuvchisi |
| Windows | .vbs fayl yaratilib cscript orqali | Ilova foydalanuvchisi |
Windows tizimlarida zararli faoliyatni yashirish uchun .vbs launcher skriptlari ham yaratilgani aniqlangan. Ayrim holatlarda “DebugChromium.exe” nomli artefaktlar ham qayd etilgan.
Malware nimalarni o‘g‘irlagan?
Tahlillarga ko‘ra, yuklab olinadigan payload oddiy zararli skript emas, balki 15 ta maxsus moduldan tashkil topgan professional credential stealer hisoblanadi. U tizimdagi eng muhim maxfiy ma’lumotlarni qidirib topishga mo‘ljallangan.
Hujumchilar quyidagi ma’lumotlarni o‘g‘irlashga uringan:
Bulutli infratuzilma kalitlari
- AWS access key’lari;
- Google Cloud Platform tokenlari;
- Microsoft Azure credential’lari;
- DigitalOcean API kalitlari.
DevOps va server konfiguratsiyalari
- Kubernetes konfiguratsiyalari;
- Docker tokenlari;
- HashiCorp Vault secret’lari;
- CI/CD muhit sozlamalari.
Dasturchi muhitiga oid maxfiy ma’lumotlar
- SSH private key’lar;
- Git credential fayllari;
.envkonfiguratsiyalari;- shell history fayllari.
Shaxsiy ma’lumotlar
- brauzerda saqlangan parollar;
- kriptovalyuta hamyonlari;
- password manager bazalari.
O‘g‘irlangan ma’lumotlar AES-256 algoritmi yordamida shifrlangan va hujumchilarning boshqaruv serveriga yuborilgan. Shundan so‘ng zararli skript o‘z izlarini yashirish maqsadida o‘zini o‘chirib tashlagan.
Supply chain hujumlarining xavfi nimada?
So‘nggi yillarda supply chain hujumlari kiberjinoyatchilar orasida eng samarali usullardan biriga aylandi. Chunki ular bevosita kompaniyani emas, balki u foydalanadigan kutubxona, paket yoki dasturiy ta’minot zanjirini nishonga oladi.
Bunday hujumlarda:
- minglab dasturchilar bir vaqtning o‘zida zararlanishi mumkin;
- zararli kod rasmiy yangilanish sifatida tarqaladi;
- an’anaviy antivirus tizimlari ko‘pincha buni sezmaydi;
- komprometatsiya uzoq vaqt yashirin qolishi mumkin.
Laravel-Lang bilan bog‘liq holatda ham aynan ishonch omili hujumchilarga katta ustunlik bergan.
Aniqlangan komprometatsiya indikatorlari (IOC)
| Turi | Indicator |
|---|---|
| C2 domen | flipboxstudio[.]info |
| Payload URL | https://flipboxstudio[.]info/payload |
| Exfiltration URL | https://flipboxstudio[.]info/exfil |
| Zararli fayl | src/helpers.php |
| Marker fayl | <tmp>/.laravel_locale/<md5_hash> |
| Dropper fayl | <tmp>/.laravel_locale/<12 random hex chars>.php |
| Windows launcher | <tmp>/.laravel_locale/<8 random hex chars>.vbs |
| Artefakt | DebugChromium.exe |
| Metadata IP | 169.254.169.254 |
Mutaxassislar xavfsizlik nuqtai nazaridan domen va URL manzillar intentionally “defang” qilinganini ta’kidlashmoqda. Ya’ni ular tasodifan ochilib ketmasligi uchun [.] shaklida yozilgan.
Mutaxassislar qanday choralarni tavsiya qilmoqda?
Kiberxavfsizlik ekspertlari quyidagi choralarni zudlik bilan amalga oshirishni tavsiya qilmoqda:
- barcha API kalitlari va credential’larni almashtirish;
.envfayllarini to‘liq audit qilish;composer.lockfayllarini tekshirish;- Laravel-Lang paketlarining zararli versiyalarini bloklash;
- tashqi tarmoqqa ketayotgan trafikni monitoring qilish;
- komprometatsiya qilingan serverlarni “clean image” asosida qayta tiklash;
- GitHub release va tag tizimlarini qo‘shimcha nazorat qilish;
- SBOM (Software Bill of Materials) monitoringini joriy etish.
Bundan tashqari, dasturchilarga Composer paketlarini avtomatik yangilash funksiyalarini ehtiyotkorlik bilan ishlatish tavsiya etilmoqda.
Laravel-Lang bilan bog‘liq ushbu hodisa zamonaviy dasturiy ta’minot ekotizimida supply chain hujumlari naqadar xavfli darajaga yetganini yana bir bor namoyish etdi. Endilikda tahdid faqat server yoki foydalanuvchi qurilmasiga emas, balki dasturchilar ishonadigan ochiq kodli paketlar infratuzilmasiga ham qaratilmoqda.
Ayniqsa Composer, npm, PyPI va RubyGems kabi paket menejerlari orqali tarqaladigan zararli kodlar butun dunyo bo‘ylab minglab tashkilotlarga bir vaqtning o‘zida zarar yetkazishi mumkin.
Shu sababli zamonaviy kiberxavfsizlik faqat antivirus yoki firewall bilan cheklanib qolmasdan, dasturiy ta’minot yetkazib berish zanjirini ham doimiy nazorat qilishni talab etmoqda.
