Un ataque a paquetes de Laravel Lang distribuyó código malicioso capaz de robar claves y datos sensibles.
Varios paquetes de Laravel Lang fueron usados en un ataque de cadena de suministro contra desarrolladores. Laravel Lang ofrece traducciones para proyectos Laravel. Es un proyecto de terceros y no forma parte del Laravel oficial.
Los atacantes no publicaron una versión nueva con un nombre sospechoso. Cambiaron etiquetas de GitHub para que versiones ya existentes apuntaran a commits maliciosos guardados en una bifurcación del repositorio. Para quien instalaba con Composer, la descarga parecía legítima.
StepSecurity, Aikido Security y Socket alertaron del caso. Los paquetes afectados fueron laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes y posiblemente laravel-lang/actions. Aikido contó 233 versiones comprometidas en tres repositorios. Socket calculó que unas 700 versiones históricas podrían estar afectadas.
La carga maliciosa añadía un archivo helpers.php, que Composer cargaba de forma automática. Ese archivo descargaba otro componente desde flipboxstudio[.]info. El malware funcionaba en Linux, macOS y Windows, y buscaba claves de nube, secretos de Kubernetes, tokens, credenciales de Git, claves SSH, datos de navegadores, carteras de criptomonedas y archivos .env.
Packagist eliminó las versiones maliciosas y retiró temporalmente los paquetes para evitar nuevas instalaciones. Los equipos deben revisar versiones, rotar credenciales, buscar indicadores de compromiso y comprobar conexiones hacia el servidor usado por los atacantes.
Basado en: Lawrence Abrams, BleepingComputer