巧妙なソフトウェアサプライチェーン攻撃がLaravel-Langエコシステムの侵害に成功し、数百のパッケージバージョンに影響を与え、開発者を深刻な認証情報窃取のリスクにさらしています。
2026年5月22日、Aikido SecurityおよびSocketのセキュリティ研究者たちは、GitHubのバージョンタグシステムを悪用して広く使用されているサードパーティのローカライゼーションパッケージにリモートコード実行(RCE)バックドアを注入するアクティブなキャンペーンを公開しました。
攻撃者たちは、laravel-lang/lang、laravel-lang/attributes、laravel-lang/http-statusesを含むコミュニティ管理のLaravel Langプロジェクト内の複数のリポジトリにわたって、700件以上の過去バージョンタグの侵害に成功しました。
公式リポジトリに悪意あるコードを直接コミットするのではなく、脅威アクターはバージョンタグをフォークのコミットに向けることができるGitHubの機能を悪用しました。
Socketによると、攻撃者たちは自分たちが管理する悪意あるフォークにリンクしたタグを作成することで、開発者による標準的なコードレビューを回避したとのことです。
Socketの分析によると、悪意ある活動の根源はsrc/helpers.phpというファイルにあります。このファイルはcomposer.jsonのautoload.filesに登録されているため、Composerのオートローダーが実行されると、侵害されたアプリケーションが処理するすべてのPHPリクエストに対してバックドアが自動的に実行されます。
初期ドロッパーは通常のローカライゼーションヘルパーを装っています。しかし、ファイルパス、ホスト名、inodeのMD5ハッシュを使用してホストマシンをフィンガープリントする自己実行コードブロックを含んでいます。
これによりマルウェアは一度だけトリガーされ、システムの一時ディレクトリ(sys_get_temp_dir()/.laravel_locale/)に感染マーカーを残します。
静的解析を回避するため、ドロッパーは実行時に文字コードを使用してコマンド&コントロール(C2)ホスト名を動的にデコードします。その後、flipboxstudio[.]info/payloadに接続し、傍受下でもフェッチが成功するようSSL検証をオフにします。
LinuxおよびmacOSではexec()経由でペイロードを実行し、Windowsでは.vbsランチャーをドロップします。
第2ステージは、15の専門コレクターモジュールで構成された5,900行にわたる高度なPHP情報スティーラーであるとAikidoは述べています。
侵害されたサーバーや開発者マシンからほぼすべての機密データを組織的に抜き取るよう設計されており、Aikidoによると、マルウェアは収集した情報をAES-256で暗号化してからflipboxstudio[.]info/exfilへ外部送信します。
スティーラーは以下を含む膨大な種類の機密情報を標的にします:
注意: IPアドレスおよびドメインは、意図せぬ名前解決やハイパーリンク化を防ぐために意図的にデファング処理(例:[.])されています。リファング処理はMISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
Packagistは今後のインストールを防ぐため、影響を受けたパッケージを一時的に非公開にしました。セキュリティチームは直ちにcomposer.lockでlaravel-lang/lang、laravel-lang/http-statuses、またはlaravel-lang/attributesを確認し、クリーンなバージョンが利用可能になるまでこれらのパッケージをブロックしてください。
インシデント対応チームは、ホストからアクセス可能なすべてのクラウド認証情報、SSHキー、データベースパスワード、APIキーを直ちにローテーションしてください。
最後に、影響を受けたホストおよびCI/CDランナーは既知の正常なイメージを使用して再構築し、フォレンジック分析のためにログとComposerキャッシュの内容を保持してください。
翻訳元: https://cyberpress.org/laravel-lang-packages-compromised/