Himbauan Keamanan Siber
Serangan Supply Chain Laravel-Lang: 233 Versi Paket
Kompromi, 700 Repositori Terdampak
Sebuah serangan rantai pasok (supply chain attack)
yang sangat canggih telah mengompromi ekosistem Laravel-Lang. Serangan
ini menyuntikkan backdoor pencuri kredensial yang mampu mengeksekusi
kode jarak jauh (Remote Code Execution/RCE) ke dalam 233 versi paket (package
versions) di lebih dari 700 repositori GitHub.
Ditemukan pada Mei 2026 oleh Socket dan Aikido, aktor
ancaman (threat actors) memanipulasi GitHub tags untuk
mendistribusikan malware melalui autoloader Composer, yang
memberikan mereka akses jarkom penuh ke lingkungan pengembangan (development
environment) milik developer.
Metode Serangan: Manipulasi Git Tags
Penyerang berhasil melakukan bypass terhadap komit
repositori langsung (direct repository commits) dengan mengeksploitasi
sistem penandaan versi (version tagging system) milik GitHub. Trik ini
digunakan untuk mengarahkan tag yang sah ke malware yang ada pada
repositori hasil penggandaan (malicious fork).
Ketika developer menarik (pull) paket
lokalisasi yang terdampak melalui Packagist, file berbahaya src/helpers.php
secara otomatis akan tereksekusi karena adanya direktif autoload.files pada
Composer. Metode ini secara efektif menyembunyikan malware dari audit
repositori standar, sekaligus mewarisi hak akses penuh dari aplikasi web (full
web application permissions).
Fase Infeksi
1. Dropper Siluman (Stealthy Dropper)
Fase infeksi awal menggunakan sebuah dropper yang
berkamuflase sebagai fungsi lokalisasi Laravel standar. Dropper ini
melakukan pemindaian karakteristik sistem (fingerprinting) pada host
menggunakan metrik perangkat keras spesifik, lalu membuat file penanda
sementara (temporary marker file) untuk mencegah eksekusi ganda yang
redundan.
Analis dari Aikido mengamati bahwa payload tersebut
akan mematikan fungsi verifikasi SSL (SSL verification) dan mengambil
skrip sekunder (secondary script) dari server Command-and-Control
(C2) yang telah dikaburkan (obfuscated). Skrip ini kemudian dijalankan
secara diam-diam (silently) melalui metode spesifik tergantung pada
sistem operasi target:
|
Sistem Operasi |
Mekanisme Eksekusi |
Hak Akses (Privilege) |
|
Linux |
Berjalan di latar belakang via exec("php ...") |
Application User |
|
macOS |
Berjalan di latar belakang via exec("php ...") |
Application User |
|
Windows |
Menjalankan skrip .vbs melalui cscript |
Application User |
2. Payload: PHP Credential Stealer
Payload sekunder yang diunduh merupakan program
pencuri kredensial (credential stealer) berbasis PHP yang masif. Di
dalamnya terdapat 15 modul pengumpul khusus (specialized collector
modules) yang secara sistematis mengincar data-data sensitif (secrets)
milik developer, seperti:
- Metadata
layanan cloud (AWS, GCP, Azure, dll).
- Kredensial
dan kata sandi basis data (database).
- File
konfigurasi lingkungan (environment configuration files / .env).
Implikasi dan Rekomendasi Mitigasi
Serangan ini menyoroti bagaimana manipulasi tag pada
manajer paket (package manager) dapat menjadi vektor yang sangat efektif
untuk mengompromi lingkungan kerja developer. Bagi organisasi atau tim
pengembang yang menggunakan Laravel-Lang, sangat disarankan untuk segera
mengambil langkah-langkah berikut:
- Audit
Segera: Periksa seluruh versi paket (package versions)
Laravel-Lang yang saat ini sedang diterapkan di lingkungan development
maupun production.
- Verifikasi
Autoload: Lakukan verifikasi integritas pada file-file yang dimuat
otomatis (autoloaded files), khususnya direktif di dalam Composer.
- Terapkan
Checksum: Implementasikan verifikasi checksum atau lockfile
(composer.lock) yang ketat untuk memastikan dependensi tidak berubah di
luar sepengetahuan tim.
- Pantau
Jaringan: Lakukan pemantauan lalu lintas jaringan (network traffic
monitoring) untuk mendeteksi adanya pola suar (beaconing patterns)
yang mengarah ke server C2 eksternal yang mencurigakan.
Sumber:
https://snyk.io/blog/laravel-lang-supply-chain-advisory/