Chiến dịch tấn công chuỗi cung ứng nghiêm trọng nhắm vào hệ sinh thái Laravel-Lang

[WhiteHat Team]

Một chiến dịch tấn công chuỗi cung ứng tinh vi vừa được phát hiện trong hệ sinh thái Laravel-Lang, khi tin tặc phát tán mã độc thông qua 233 phiên bản package khác nhau sau khi chiếm quyền kiểm soát khoảng 700 repository trên GitHub. Sự việc được các hãng bảo mật Socket và Aikido công bố trong tháng 5/2026, làm dấy lên lo ngại về mức độ an toàn của chuỗi cung ứng mã nguồn mở dành cho cộng đồng PHP và Laravel.
​

Điểm đáng chú ý của chiến dịch nằm ở cách kẻ tấn công lẩn tránh cơ chế giám sát truyền thống. Thay vì chỉnh sửa trực tiếp mã nguồn trong repository gốc, chúng lợi dụng hệ thống Git tag của GitHub để trỏ các phiên bản hợp lệ sang một nhánh fork độc hại do chính chúng kiểm soát. Điều này khiến các package vẫn giữ nguyên tên, phiên bản và lịch sử phát hành hợp lệ trên Packagist, trong khi thực tế đã bị thay thế bằng mã độc.

Khi lập trình viên cài đặt hoặc cập nhật package Laravel-Lang, mã độc sẽ được kích hoạt tự động thông qua chỉ thị autoload.files của Composer. Cơ chế này khiến file src/helpers.php được thực thi ngay khi ứng dụng khởi tạo, không cần bất kỳ thao tác gọi hàm trực tiếp nào. Đây là điểm khiến chiến dịch trở nên nguy hiểm, vì quá trình lây nhiễm diễn ra trong giai đoạn cài đặt phụ thuộc, vốn là bước được tin tưởng trong quy trình phát triển phần mềm.

Ở giai đoạn đầu, mã độc hoạt động như một dropper ngụy trang dưới dạng hàm bản địa hóa của Laravel. Thành phần này tiến hành thu thập thông tin hệ thống, nhận diện môi trường máy nạn nhân và tạo file đánh dấu trong thư mục tạm để tránh thực thi lặp lại. Sau đó, nó vô hiệu hóa cơ chế xác thực SSL và kết nối đến máy chủ điều khiển (C2) để tải về payload thứ hai. Tùy theo hệ điều hành, mã độc được thực thi bằng các cơ chế khác nhau: trên Linux và macOS sử dụng lệnh exec("php ..."), trong khi trên Windows tạo file .vbs và chạy qua cscript nhằm giảm khả năng bị phát hiện.

Payload chính là một bộ công cụ đánh cắp thông tin (PHP credential stealer) gồm 15 module chuyên biệt. Nó được thiết kế để thu thập dữ liệu nhạy cảm trong môi trường phát triển và hạ tầng cloud gồm:​

• Khóa truy cập AWS, Google Cloud, Azure và DigitalOcean​
• Cấu hình Kubernetes, Docker token và HashiCorp Vault secret​
• SSH private key, Git credential và lịch sử shell​
• Dữ liệu trình duyệt, ví tiền điện tử và cơ sở dữ liệu trình quản lý mật khẩu​

Đáng lo ngại hơn, các nhà nghiên cứu nhận định mục tiêu không chỉ dừng ở máy lập trình viên. Khi các khóa cloud và secret hạ tầng bị thu thập, kẻ tấn công có thể mở rộng quyền truy cập sang hệ thống CI/CD, môi trường production hoặc toàn bộ kiến trúc cloud của tổ chức. Sau khi hoàn tất quá trình đánh cắp dữ liệu, mã độc sẽ mã hóa toàn bộ thông tin bằng AES-256 rồi gửi về máy chủ điều khiển của kẻ tấn công trước khi tự xóa khỏi hệ thống nhằm giảm thiểu khả năng bị điều tra và phục hồi dấu vết.

Các chuyên gia khuyến cáo những hệ thống từng cài đặt các package Laravel-Lang bị ảnh hưởng nên được coi là đã bị xâm nhập hoàn toàn. Do mã độc có khả năng đánh cắp thông tin xác thực và duy trì truy cập từ xa, doanh nghiệp cần lập tức thay đổi toàn bộ mật khẩu, API key và secret liên quan, đồng thời rà soát file composer.lock để xác định package nhiễm độc. Bên cạnh đó, cần kiểm tra lưu lượng mạng bất thường và dựng lại máy chủ từ image sạch, thay vì chỉ đơn giản gỡ bỏ package chứa mã độc.

Một số chỉ báo tấn công (IoC) đáng chú ý được công bố gồm:​

• Domain điều khiển (C2): flipboxstudio[.]info​
• URL tải payload: /payload​
• URL exfiltration dữ liệu: /exfil​
• File độc hại: src/helpers.php​
• Artifact trên Windows: DebugChromium.exe​
• Địa chỉ metadata cloud bị nhắm tới: 169.254.169.254​

Vụ việc một lần nữa cho thấy rủi ro ngày càng gia tăng từ chuỗi cung ứng mã nguồn mở, nơi các package tưởng chừng đáng tin cậy có thể trở thành điểm khởi đầu cho những chiến dịch tấn công quy mô lớn nhắm vào hạ tầng phát triển phần mềm toàn cầu.​