Laravel-Lang пакеты скомпрометированы через supply chain-атаку

Исследователи в области кибербезопасности обнаружили новую атаку на цепочку поставок, затронувшую несколько PHP-пакетов проекта Laravel-Lang. Через них злоумышленники распространяли кроссплатформенный стилер для кражи учетных данных.

Под атаку попали следующие пакеты:

• laravel-lang/lang

• laravel-lang/http-statuses

• laravel-lang/attributes

• laravel-lang/actions

По данным исследователей из Socket и Aikido Security, злоумышленники не публиковали новые версии пакетов обычным способом. Вместо этого они переписали существующие Git-теги, перенаправив их на вредоносные коммиты из стороннего форка. Из-за особенностей интеграции GitHub и Packagist такие теги были восприняты как легитимные релизы.

Атака затронула сотни исторических версий пакетов. Изначально речь шла примерно о 233 версиях, однако позже количество зараженных релизов превысило 700.

Вредоносный код добавлялся через файл src/helpers.php, который автоматически подключался Composer через секцию autoload.files в composer.json. Это позволяло запускать бэкдор сразу после установки пакета и при каждом запуске PHP-приложения.

Пример вредоносной конфигурации выглядел следующим образом:

{
    "autoload": {
        "files": [
            "src/helpers.php"
        ]
    }
}

После запуска malware связывался с доменом flipboxstudio[.]info и загружал дополнительный payload для Windows, Linux и macOS.

Исследователи сообщили, что стилер собирал:

• cloud credentials

• токены CI/CD

• SSH-ключи

• .env файлы

• данные Kubernetes и Vault

• cookie и пароли браузеров

• данные password manager'ов

• seed-фразы криптокошельков

• токены Discord, Slack и Telegram
  

Полученные данные шифровались с помощью AES-256 и отправлялись на сервер злоумышленников. После этого вредоносный код пытался удалить себя для усложнения расследования.

Packagist уже удалил зараженные релизы, однако разработчикам рекомендуется считать системы потенциально скомпрометированными, если обновление пакетов выполнялось 22-23 мая 2026 года.

Для проверки зависимостей можно использовать команды Composer:

composer show | grep laravel-lang

Или проверить наличие подозрительного файла:

find vendor/laravel-lang -name helpers.php

Специалисты рекомендуют:

• обновить пакеты до безопасных версий

• сменить API-ключи и токены

• перевыпустить SSH-ключи

• заменить CI/CD credentials

• проверить .env файлы и cloud credentials

• очистить browser sessions и cookies
  

Исследователи отмечают, что это одна из самых масштабных атак на PHP supply chain за последнее время.

Источник: HN