(in)sicurezza digitale

2026-05-25 16:37:30

Laravel-Lang compromessa: oltre 700 versioni PHP infettate da uno stealer cross-platform

Un sofisticato attacco alla supply chain ha compromesso quattro pacchetti PHP appartenenti al progetto Laravel-Lang, iniettando codice malevolo in oltre 700 versioni pubblicate in rapida successione tra il 22 e il 23 maggio 2026. Il payload — uno stealer cross-platform da quasi 6.000 righe di codice — è stato progettato per drenare credenziali cloud, token CI/CD, wallet di criptovalute e segreti di repository da qualsiasi sistema che utilizzi queste librerie di localizzazione diffusissime nell’ecosistema Laravel.

La natura dell’attacco: tag git riscritti, non codice sorgente

Quello che rende questa campagna particolarmente insidiosa è la tecnica adottata: gli attaccanti non hanno modificato il codice sorgente del repository, bensì hanno riscritto ogni tag git esistente in ciascun repository per puntare a commit malevoli appartenenti a un fork controllato dagli aggressori. Questo approccio bypassa molti controlli di integrità tradizionali basati sull’analisi dei diff del codice principale.

GitHub consente ai tag di versione di puntare a commit di fork dello stesso repository. Gli attaccanti hanno sfruttato questa funzionalità per sostituire silenziosamente tutti i tag — compresi quelli di versioni storicamente sicure — con riferimenti a commit malevoli nel fork. Il risultato pratico è che anche un progetto che non aggiornava le dipendenze da mesi si ritrovava improvvisamente a scaricare codice ostile.

I ricercatori di Socket, Aikido Security, StepSecurity e Snyk hanno analizzato in dettaglio l’incidente, confermando che le versioni compromesse sono state pubblicate in rapida successione — alcune a pochi secondi di distanza l’una dall’altra — il 22 e il 23 maggio 2026, con oltre 700 versioni identificate tra i quattro pacchetti interessati. La velocità di pubblicazione indica quasi certamente un processo automatizzato.

I pacchetti compromessi

I quattro pacchetti colpiti sono componenti fondamentali dell’ecosistema di localizzazione per applicazioni Laravel:

• laravel-lang/lang — le traduzioni principali per decine di lingue
• laravel-lang/http-statuses — messaggi di stato HTTP localizzati
• laravel-lang/attributes — traduzioni degli attributi dei form
• laravel-lang/actions — azioni comuni localizzate

Si sospetta che gli attaccanti abbiano ottenuto accesso a credenziali a livello di organizzazione, a sistemi di automazione del repository o all’infrastruttura di rilascio del progetto. Packagist ha risposto tempestivamente rimuovendo le versioni malevole e mettendo temporaneamente in stato di “unlisted” i pacchetti interessati per prevenire ulteriori installazioni.

Il meccanismo di esecuzione automatica: autoloader Composer

La funzionalità malevola è contenuta in un file denominato src/helpers.php, incorporato nei tag di versione compromessi. Il file è registrato nel campo autoload.files del composer.json di ciascun pacchetto. Questa scelta tecnica è devastante: qualsiasi applicazione PHP che esegua require __DIR__.'/vendor/autoload.php' all’avvio — ovvero praticamente ogni applicazione Laravel, Symfony, PHPUnit o framework PHP moderno — esegue automaticamente il payload senza che sia necessaria alcuna chiamata di metodo esplicita.

“Il backdoor viene eseguito automaticamente ad ogni richiesta PHP gestita dall’applicazione compromessa”, ha spiegato Socket nella propria analisi. Lo script genera un identificatore univoco per host (un hash MD5 che combina il percorso della directory, l’architettura del sistema e l’inode) per garantire che il payload si attivi una sola volta per macchina, limitando le esecuzioni ridondanti e aiutando il malware a restare non rilevato dopo l’esecuzione iniziale.

Payload: uno stealer modulare con 15 collector specializzati

Il dropper contatta il server flipboxstudio[.]info per recuperare il payload principale: uno stealer PHP cross-platform da circa 5.900 righe di codice, organizzato in 15 moduli collector specializzati. Su Windows viene distribuito un launcher Visual Basic Script eseguito tramite cscript; su Linux e macOS il payload viene eseguito tramite exec().

L’elenco di ciò che lo stealer è in grado di raccogliere è impressionante per ampiezza e profondità:

• Cloud provider: ruoli IAM AWS e documenti di identità dell’istanza, credenziali default di Google Cloud, token di accesso Microsoft Azure, profili service principal, token di account DigitalOcean, Heroku, Vercel, Netlify, Railway, Fly.io
• Container e orchestrazione: token Service Account Kubernetes, configurazioni Helm registry, token HashiCorp Vault, auth token Docker, configurazioni cluster Kubernetes
• CI/CD e DevOps: token e configurazioni di Jenkins, GitLab Runner, GitHub Actions, CircleCI, TravisCI, ArgoCD
• Criptovalute: seed phrase e file di portafogli Electrum, Exodus, Atomic, Ledger Live, Trezor, Wasabi, Sparrow; dati di estensioni browser MetaMask, Phantom, Trust Wallet, Ronin, Keplr, Solflare, Rabby
• Browser: cronologia, cookie e login data da Chrome, Edge, Firefox, Brave, Opera, usando un eseguibile Windows embedded in Base64 che bypassa Chromium’s App-Bound Encryption (ABE)
• Password manager: vault locali e dati di estensioni 1Password, Bitwarden, LastPass, KeePass, Dashlane, NordPass
• Comunicazioni e sessioni: token di Discord, Slack, Telegram; sessioni PuTTY/WinSCP, Windows Credential Manager, sessioni RDP
• File sensibili: chiavi private SSH, credenziali Git, history di shell, file .env, wp-config.php, docker-compose.yml, variabili d’ambiente del processo PHP
• Email e FTP: dati Outlook, Thunderbird, FileZilla, WinSCP, CoreFTP
• VPN: configurazioni OpenVPN, WireGuard, NetworkManager, NordVPN, ExpressVPN, CyberGhost, Mullvad

Dopo aver raccolto tutto il materiale disponibile, il payload cripta i risultati con AES-256 e li trasmette all’endpoint flipboxstudio[.]info/exfil, dopodiché si cancella dal disco per limitare le tracce forensi.

IoC (Indicatori di Compromissione)

# Dominio C2 principale
flipboxstudio[.]info
flipboxstudio[.]info/exfil
# File malevolo nei pacchetti
src/helpers.php  (registrato in autoload.files di composer.json)
# Pacchetti PHP compromessi (verificare versioni 22-23 maggio 2026)
laravel-lang/lang
laravel-lang/http-statuses
laravel-lang/attributes
laravel-lang/actions
# Verifica presenza del file malevolo
find ./vendor -name "helpers.php" -path "*/laravel-lang/*" -exec grep -l "flipboxstudio" {} \;

Contesto: una campagna in crescita nell’ecosistema PHP

Questo attacco non è isolato. Negli ultimi mesi si è assistito a un’ondata di compromissioni delle supply chain nei principali registri di pacchetti. In particolare, la campagna Mini Shai-Hulud attribuita al gruppo TeamPCP (UNC6780) ha colpito pacchetti npm di TanStack, Mistral AI, Guardrails AI e OpenSearch, diffondendosi come un vero e proprio worm grazie all’abuso di token OIDC GitHub e al meccanismo di trusted publishing di npm. Il fatto che ora un attacco simile colpisca l’ecosistema PHP/Composer dimostra che i gruppi criminali stanno sistematicamente esplorando tutti i principali registri di pacchetti come vettori di attacco.

La tecnica di riscrivere i tag git invece di modificare il codice sorgente rappresenta un’evoluzione tattica significativa: bypassando i controlli diff tradizionali, rende molto più difficile il rilevamento automatico da parte degli strumenti di analisi della composizione software (SCA).

Due righe per i difensori

• Verificare immediatamente se le applicazioni Laravel utilizzano uno dei quattro pacchetti compromessi e controllare le versioni installate durante il periodo 22-23 maggio 2026
• Ruotare tutte le credenziali (AWS, GCP, Azure, GitHub, npm, CI/CD, database) su qualsiasi sistema che abbia eseguito codice con le versioni infette
• Non revocare immediatamente i token sospetti prima di aver isolato e acquisito un’immagine forense del sistema: il malware include meccanismi di risposta alla revoca
• Bloccare il dominio flipboxstudio[.]info a livello di firewall/DNS
• Implementare controlli di integrità sui tag git (verificare le firme dei commit) e considerare il pinning degli hash SHA degli artefatti nel composer.lock
• Adottare strumenti SCA capaci di rilevare tag git riscritti, non solo modifiche al codice sorgente
• Aggiornare a versioni sicure dei pacchetti rilasciate dal team Laravel-Lang dopo la rimozione delle versioni malevole da Packagist

(in)sicurezza digitale

2026-05-25 16:38:53

Operazione Saffron: smantellata First VPN, il servizio criminale usato da 25 gang ransomware

Un’operazione internazionale coordinata da sette paesi ha smantellato First VPN, un servizio VPN criminale attivo dal 2014 che per oltre un decennio ha fornito anonimato e copertura a ransomware gang, operatori di botnet e criminali informatici di ogni tipo. L’Operazione Saffron — condotta tra il 19 e il 20 maggio 2026 da autorità francesi e olandesi con il supporto di Europol ed Eurojust — ha portato al sequestro di 33 server, alla chiusura di domini multipli e all’identificazione di migliaia di utenti criminali. Almeno 25 gruppi ransomware si erano affidati al servizio per nascondere le proprie attività.

Cos’era First VPN: un servizio progettato per il crimine

A differenza dei normali provider VPN commerciali, First VPN era stato strutturalmente concepito per rispondere alle esigenze operative dei criminali informatici. Il servizio operava server in 27 paesi, accettava pagamenti anonimi e metteva a disposizione un’infrastruttura deliberatamente opaca, pubblicizzando esplicitamente la propria offerta agli hacker attraverso forum del dark web.

Europol ha confermato che First VPN non si limitava a offrire connessioni anonime: forniva ai cybercriminali pagamenti anonimi, infrastruttura nascosta e una serie di servizi specificamente commercializzati per chi voleva condurre attività illegali. L’FBI ha dichiarato che almeno 25 gang ransomware si servivano del servizio per mascherare il traffico malevolo, condurre ricognizioni sulle reti delle vittime, operare botnet, lanciare attacchi DDoS ed eseguire frodi su larga scala.

La durata operativa del servizio — dodici anni, dal 2014 al 2026 — rende First VPN uno dei provider criminali più longevi mai smantellati. Nel corso di questi anni il servizio ha rappresentato un elemento dell’infrastruttura criminale digitale quasi quanto certi servizi bullet-proof hosting che proteggono server di command-and-control.

Operazione Saffron: anatomia del takedown

L’Operazione Saffron è stata guidata dalle autorità di Francia e Paesi Bassi, con la partecipazione di cinque ulteriori paesi. Europol ed Eurojust hanno svolto un ruolo di coordinamento, mentre Bitdefender è stato tra i partner privati che hanno contribuito all’operazione con intelligence tecnica.

Il bilancio dell’operazione è significativo:

• 33 server sequestrati in tutta l’infrastruttura del servizio
• Chiusura di tutti i domini associati a First VPN
• Identificazione di migliaia di utenti criminali — le autorità hanno ottenuto accesso ai log e ai dati del provider
• 83 pacchetti di intelligence su 506 utenti condivisi con i paesi partner per follow-up investigativi
• Interrogatorio dell’operatore in Ucraina da parte di autorità francesi e olandesi

Un dato particolarmente rilevante: le autorità avevano accesso segreto ai sistemi di First VPN prima del takedown, raccogliendo intelligence sugli utenti e le loro attività. Come in precedenti operazioni simili (VPNLab, Fbi’s Anom), il monitoraggio anticipato ha permesso di costruire casi investigativi solidi contro i clienti del servizio.

Chi utilizzava First VPN: 25 gang ransomware e un ecosistema criminale variegato

Secondo l’FBI, First VPN era un punto di convergenza per una molteplicità di attori criminali. Le 25 gang ransomware che lo utilizzavano lo impiegavano principalmente per:

• Mascherare l’identità degli operatori durante la fase di ricognizione e compromissione iniziale delle reti
• Gestire i pannelli di command-and-control dei loro malware senza esporre infrastrutture proprie
• Condurre negoziazioni con le vittime attraverso connessioni anonimizzate
• Eseguire exfiltrazione di dati verso server di staging

Oltre al ransomware, il servizio veniva impiegato per la gestione di botnet, attacchi DDoS-as-a-service, frodi finanziarie e altre forme di cybercrime. La natura “crime-as-a-service” dell’offerta di First VPN riflette la professionalizzazione crescente dell’ecosistema criminale informatico, dove le diverse componenti delle operazioni illecite — exploit kit, accesso iniziale, VPN anonime, criptazione, estorsione — vengono acquistate come servizi separati su mercati specializzati.

Il contesto: la guerra delle autorità contro l’infrastruttura criminale

Il takedown di First VPN si inserisce in una sequenza di operazioni di law enforcement che negli ultimi anni ha progressivamente eroso l’infrastruttura tecnologica del cybercrimine organizzato. Tra le operazioni più significative degli ultimi 24 mesi si ricordano: il takedown di LockBit (febbraio 2024), l’operazione contro ALPHV/BlackCat (dicembre 2023), il sequestro di BreachForums (maggio 2024) e, più recentemente, l’arresto di Jacob Butler, il 23enne canadese alias “Dort” accusato di aver operato la botnet KimWolf — responsabile di attacchi DDoS da record a quasi 30 terabit al secondo, che hanno infettato quasi 2 milioni di dispositivi tra telecamere di sorveglianza e cornici digitali connesse a internet.

Ciò che emerge da questa serie di operazioni è una strategia deliberata da parte delle autorità: colpire non solo i singoli criminali, ma l’infrastruttura condivisa che permette a decine di gruppi diversi di operare. Sequestri di VPN criminali, hosting bullet-proof, servizi di riciclaggio crypto e forum di coordinamento costano al cybercrimine non solo singoli attori ma intere reti di supporto operative.

Le implicazioni investigative: i log di First VPN

Il punto più interessante — e preoccupante per chi ha usato il servizio — è la questione dei log. First VPN sosteneva, come quasi tutti i provider VPN nel mercato criminale, di non conservare log delle attività degli utenti. Le operazioni precedenti (VPNLab, IVPN, DoubleVPN) hanno dimostrato che queste affermazioni sono spesso false o parzialmente vere. In questo caso, la conferma che le autorità hanno ottenuto accesso anticipato ai sistemi e hanno costruito 83 pacchetti di intelligence su 506 utenti specifici suggerisce fortemente che dati sufficienti per l’identificazione erano disponibili.

Per le organizzazioni di sicurezza che seguono gruppi ransomware attivi, questo takedown ha una conseguenza pratica immediata: tutti i gruppi che utilizzavano First VPN dovranno migrare verso infrastrutture alternative, il che storicamente causa disruption operativa misurabile nelle campagne ransomware nelle settimane successive a simili operazioni.

Consigli per i difensori

• Monitorare i log di rete per connessioni in entrata o in uscita verso i range IP precedentemente associati all’infrastruttura di First VPN (le ION saranno condivise dai partner istituzionali nelle prossime settimane)
• Aspettarsi un picco di attività ransomware nelle prossime 2-4 settimane: i gruppi che perdono infrastrutture di supporto tendono ad accelerare le campagne attive prima di riorganizzarsi
• Aggiornare le TTP di threat modeling per i gruppi ransomware di riferimento: cambieranno IP, provider VPN e infrastruttura C2 in risposta all’operazione
• Condividere intelligence con i centri nazionali (in Italia, ACN) per contribuire alla costruzione dei pacchetti investigativi di follow-up sui 506 utenti identificati

informapirata

2026-05-25 14:44:55

L’umanità di fronte alla sfida dell’anti-Logos onnisciente e onnipotente – Solo sussidiarietà, corresponsabilità e comunione rendranno Magnifica l’Humanitas

Disarmare l’IA significa sottrarla alla logica della competizione armata, che oggi non è più solo militare ma economica e cognitiva. Disarmare vuol dire rompere l’equivalenza tra potenza tecnica e diritto di governare. Disarmare non significa rinunciare alla tecnologia, ma impedirle di dominare l’umano
informapirata.it/2026/05/25/lu…

L’umanità di fronte alla sfida dell’anti-Logos onnisciente e onnipotente – Solo sussidiarietà, corresponsabilità e comunione rendranno Magnifica l’Humanitas

Disarmare l’IA significa sottrarla alla logica della competizione armata, che oggi non è più solo militare ma economica e cognitiva. Disarmare vuol dire…

^{informapirata}