Un ataque a paquetes de Laravel Lang distribuyó código malicioso capaz de robar claves y datos sensibles.
Un compromiso de la cadena de suministro de Laravel Lang expuso a desarrolladores a un malware de robo de credenciales. Laravel Lang agrupa paquetes de localización para aplicaciones Laravel y es una iniciativa de terceros ajena al framework oficial.
La gravedad reside en el método elegido. En vez de publicar una versión nueva, los atacantes reescribieron etiquetas de GitHub para que lanzamientos conocidos apuntaran a commits maliciosos situados en una bifurcación bajo su control. Así, Composer podía resolver una versión legítima en apariencia y descargar código manipulado.
StepSecurity, Aikido Security y Socket alertaron del incidente. Los paquetes señalados incluyen laravel-lang/lang, laravel-lang/http-statuses y laravel-lang/attributes, además de laravel-lang/actions como posible afectado. Aikido contó 233 versiones comprometidas; Socket estimó unas 700 versiones históricas.
La modificación incorporaba helpers.php al autoload de Composer. Ese archivo descargaba una segunda carga desde flipboxstudio[.]info. El componente buscaba secretos en Linux, macOS y Windows: claves cloud, Kubernetes, Vault, Git, CI/CD, SSH, navegadores, carteras de criptomonedas y archivos .env. En Windows también desplegaba DebugElevator para Chrome, Brave y Edge.
Packagist retiró las versiones maliciosas y ocultó temporalmente los paquetes para frenar instalaciones. Los equipos deben auditar dependencias, rotar claves, revisar indicadores y comprobar conexiones pasadas con el servidor de mando.
Basado en: Lawrence Abrams, BleepingComputer