Serangan Supply Chain Melanda Laravel Lang: Hacker Manipulasi Tag GitHub untuk Suntik Malware Pencuri Kredensial

Sebuah serangan rantai pasok (supply chain attack) canggih dilaporkan telah menghantam proyek Laravel Lang, sebuah ekosistem paket lokalisasi bahasa pihak ketiga yang sangat populer di kalangan pengembang framework Laravel. Peneliti dari firma keamanan StepSecurity, Aikido Security, dan Socket mengeluarkan peringatan darurat setelah mendeteksi adanya manipulasi masif pada sistem penandaan versi (version tags) di GitHub untuk mendistribusikan malware pencuri kredensial (infostealer).

Serangan ini tergolong sangat rapi karena pelaku tidak mengunggah versi baru yang mencurigakan ke repositori hulu, melainkan menulis ulang seluruh riwayat tag rilis masa lalu (historical version tags) untuk mengelabui manajer paket pengembang (Composer).

⚠️ Catatan Penting: Paket-paket Laravel Lang yang terdampak ini dikelola oleh organisasi komunitas independen (pihak ketiga) dan bukan merupakan bagian dari core project resmi dari Laravel.

Mekanisme Taktis: Eksploitasi Fitur Git Tag Pointer

Hal yang membuat serangan ini menonjol dan sangat berbahaya adalah kode sumber asli (source code) pada cabang utama (main branch) repositori tersebut sama sekali tidak diubah. Pelaku memanfaatkan celah logika pada fitur GitHub yang mengizinkan sebuah tag rilis menunjuk (point) ke komitmen (commits) yang berada di dalam repositori hasil forking pihak luar.

1. Akses Kredensial Organisasi: Menggunakan satu akun pengembang yang kompromi dengan hak akses Push ke seluruh organisasi, pelaku mulai bergerak cepat dalam jendela waktu ketat.
2. Menulis Ulang Git Tag: Penyerang menulis ulang setiap git tag yang ada di 4 repositori target. Proses ini mengubah arah pointer tag rilis sah ke sebuah komitmen berbahaya yang disimpan di dalam repositori fork milik penyerang.
3. Dampak Skala Masif: Aikido mendeteksi ada 233 versi yang dimanipulasi pada tiga repositori, sementara Socket memperkirakan sekitar 700 versi historis dari paket-paket berikut telah terinfeksi:
   • laravel-lang/lang (Flagship paket translasi dengan 502 tag yang dimanipulasi pertama kali).
   • laravel-lang/http-statuses
   • laravel-lang/attributes
   • laravel-lang/actions

Ketika para pengembang menjalankan perintah instalasi atau pembaruan rutin seperti composer install atau composer update, Composer akan mengunduh kode berbahaya tersebut karena mengira sedang menarik rilis historis Laravel Lang yang sah.

Alur Eksekusi Malware dan Target Pengurasan Data

Begitu paket terpasang di komputer pengembang atau server produksi, Composer secara otomatis memuat berkas berbahaya baru bernama src/helpers.php melalui mekanisme autoloading. Berkas ini bertindak sebagai dropper awal yang mengunduh muatan biner (payload) tahap kedua dari server Command and Control (C2) penyerang di domain flipboxstudio[.]info.

1. Komponen Infostealer Multiplatform (Linux, macOS, Windows)

Payload PHP yang diunduh merupakan program credential stealer lintas platform berskala masif. Malware ini secara agresif memindai dan memanen:

• Berkas konfigurasi lokal .env (biasanya berisi password database dan API Key).
• Kredensial cloud (AWS keys, GitHub tokens, Slack tokens, Stripe secrets).
• Kunci rahasia Kubernetes, token HashiCorp Vault, token CI/CD, dan SSH Private Keys.
• Data sensitif dari browser, dompet mata uang kripto (crypto wallets), dan aplikasi pengelola kata sandi (password managers).

2. Payload Spesifik Windows: “DebugElevator” Berbantuan AI

Khusus pada target berbasis Windows, skrip PHP akan mengekstrak file eksekusi terenkripsi Base64 ke dalam folder %TEMP% dengan nama acak .exe lalu menjalankannya.

Analisis forensik biner menunjukkan bahwa executable ini bernama DebugElevator. Program ini dirancang khusus untuk menyerang browser berbasis Chromium seperti Google Chrome, Brave, dan Microsoft Edge, dengan misi mengekstrak kunci App-Bound Encryption yang diperlukan untuk mendekripsi seluruh kata sandi yang tersimpan di dalam browser target.

🤖 Indikasi Penggunaan AI: Jejak jalur kompilasi PDB (Embedded PDB path) yang tertinggal di dalam biner mereferensikan direktori: C:\Users\Mero\OneDrive\Desktop\stuff\claude\Chromium-DebugElevator\... yang mengindikasikan kuat bahwa penyerang memanfaatkan bantuan AI (seperti Claude) dalam proses pengembangan malware Windows tersebut.

Seluruh data rahasia yang berhasil dikuras kemudian dienkripsi oleh malware dan dieksfiltrasi kembali menuju server C2 milik pelaku.

Tindakan Mitigasi dan Status Saat Ini

Setelah menerima laporan dari tim Aikido, pihak Packagist (repositori utama paket Composer) bergerak cepat dengan menghapus versi yang termanipulasi dan menyembunyikan sementara (temporary unlisting) paket Laravel Lang dari bursa publik guna mencegah jatuhnya korban baru.

Bagi para pengembang dan administrator jaringan yang menggunakan paket-paket di atas, Anda didesak untuk segera mengambil langkah penanganan berikut:

• Audit Versi Paket: Periksa berkas composer.lock Anda untuk memastikan tidak ada rilis paket laravel-lang yang mengarah ke komitmen di luar repositori resmi.
• Rotasi Kredensial: Jika Anda mendeteksi adanya instalasi paket ini dalam beberapa hari terakhir, segera lakukan rotasi total (revoke and rotate) terhadap seluruh kredensial API, token cloud, password database, dan kunci SSH yang ada di lingkungan kerja (local machine) maupun server produksi Anda.
• Pemindaian Indikator Kompromi (IoC): Periksa log jaringan firewall Anda untuk melihat apakah ada aktivitas koneksi keluar (outbound connections) menuju domain berbahaya flipboxstudio[.]info.