اختراق حزم لافاريل لانج: برمجية خبيثة تستهدف مطوري PHP

كشفت تقارير أمنية، تابعها فريق تيكبامين، عن حملة اختراق واسعة استهدفت حزم لافاريل لانج (Laravel-Lang) الشهيرة، حيث تم استغلالها لتوزيع برمجيات خبيثة تسرق البيانات.

ما هي تفاصيل اختراق حزم لافاريل لانج (Laravel-Lang)؟

تعرضت منظومة تطوير تطبيقات الويب لهزة أمنية بعد اكتشاف هجوم على "سلسلة التوريد" استهدف حزم لغات البرمجة الخاصة بإطار العمل الشهير لافاريل. ووفقاً لتحليلات الخبراء، فإن المهاجمين تمكنوا من اختراق عملية النشر الآلي للمنظمة، مما مكنهم من إصدار مئات التحديثات الخبيثة في وقت قياسي.

وقد تم رصد نمط مريب في إصدارات الحزم خلال يومي 22 و23 مايو 2026، حيث تم نشر أكثر من 700 نسخة وتحديث بفوارق زمنية لا تتعدى الثواني، مما يؤكد استخدام أدوات أتمتة متطورة للسيطرة على المستودعات البرمجية.

كيف تعمل البرمجية الخبيثة داخل تطبيقات بي إتش بي (PHP)؟

تعتمد آلية الهجوم على زرع ملف خبيث تحت اسم "src/helpers.php" مدمج داخل وسوم الإصدارات الجديدة. تكمن الخطورة الكبرى في كيفية تنفيذ هذا الملف، حيث يتم تحميله تلقائياً في كل مرة يتم فيها تشغيل تطبيق الويب المصاب، وذلك بفضل تسجيله في ملف الإعدادات الأساسي (composer.json).

أبرز خصائص الملف الخبيث:

• التشغيل التلقائي: يتم تنفيذ الكود البرمجي مع كل طلب (Request) يعالجه التطبيق.
• تحديد البصمة الرقمية: يقوم الكود بجمع معلومات دقيقة عن النظام المضيف لتمييزه.
• الاتصال الخارجي: يتواصل الملف مع خادم تحكم (flipboxstudio[.]info) لجلب حمولة إضافية.
• التخفي: تستخدم البرمجية هاش MD5 فريد لكل جهاز لضمان تشغيل الحمولة مرة واحدة فقط، مما يصعب عملية اكتشافها.

هل تتأثر أنظمة ويندوز ولينكس وماك بهذا الاختراق؟

أكدت التحقيقات الأمنية التي تابعها موقع تيكبامين أن البرمجية الخبيثة عابرة للمنصات، وهي مصممة للعمل بكفاءة على مختلف أنظمة التشغيل التي تستضيف تطبيقات PHP. وتستخدم البرمجية أساليب تنفيذ مختلفة بناءً على النظام:

• نظام ويندوز: تقوم البرمجية بإطلاق مشغل Visual Basic Script عبر أداة cscript المدمجة في النظام.
• أنظمة لينكس وماك (macOS): يتم تنفيذ الحمولة الخبيثة مباشرة باستخدام دوال التنفيذ البرمجية مثل exec().
• تشفير البيانات: يتم تشفير كافة المعلومات المسروقة باستخدام معيار التشفير القوي AES-256 قبل إرسالها إلى المهاجمين.

ما هي البيانات التي تستهدفها برمجية لافاريل الخبيثة؟

تعتبر هذه البرمجية "سارق بيانات" شامل، حيث تضم حوالي 5900 سطر من كود بي إتش بي المنظم في 15 وحدة تجميع متخصصة. وتهدف هذه الوحدات إلى البحث عن كل ما يمكن العثور عليه من معلومات حساسة داخل النظام المصاب.

وبعد انتهاء عملية الجمع والتشفير والإرسال إلى خادم exfil، تقوم البرمجية بمسح نفسها من القرص الصلب لتقليل الأدلة الجنائية المتبقية ومنع المحللين الأمنيين من تتبع أثرها بسهولة. ويُنصح المطورون بضرورة مراجعة سجلات التحديثات في مشاريعهم فوراً والتأكد من عدم استخدام الإصدارات المشبوهة التي صدرت في أواخر مايو 2026.