Un ataque a paquetes de Laravel Lang distribuyó código malicioso capaz de robar claves y datos sensibles.
Un ataque de cadena de suministro contra Laravel Lang puso en riesgo a desarrolladores que instalaron paquetes de localización con Composer. Laravel Lang reúne paquetes de terceros para traducir aplicaciones Laravel; no pertenece al proyecto oficial.
La técnica fue peligrosa porque no consistió en subir una versión nueva. Los atacantes reescribieron etiquetas de GitHub para que versiones publicadas apuntaran a commits maliciosos alojados en una bifurcación bajo su control. Así, una instalación normal podía descargar código alterado.
StepSecurity, Aikido Security y Socket notificaron el incidente. Entre los paquetes afectados están laravel-lang/lang, laravel-lang/http-statuses y laravel-lang/attributes, con laravel-lang/actions como posible afectado. Aikido identificó 233 versiones comprometidas; Socket estimó unas 700 versiones históricas.
El cambio introducía un archivo helpers.php que Composer cargaba automáticamente. Ese archivo obtenía una segunda carga desde flipboxstudio[.]info. Era un ladrón de credenciales para Linux, macOS y Windows capaz de recopilar secretos de nube, Kubernetes, Vault, Git, CI/CD, SSH, navegadores, carteras de criptomonedas y archivos .env. En Windows también extraía DebugElevator, orientado a Chrome, Brave y Edge.
Packagist eliminó las versiones maliciosas y retiró temporalmente los paquetes afectados. Los equipos deben revisar instalaciones, sustituir claves expuestas, analizar sistemas y buscar conexiones con el servidor de mando.
Basado en: Lawrence Abrams, BleepingComputer