Hackers Compromise Laravel-Lang Packages via 700 GitHub Repos
2026/05/23 gbhackers — 現在進行型の高度なサプライチェーン攻撃が、Laravel-Lang オープンソース組織を直撃している。Laravel-Lang で広く使用されている、4つの PHP ローカライゼーション・リポジトリにおいて、700以上のパッケージ・バージョンが侵害された。この攻撃は、Aikido Security および Socket Research Team により、2026年5月22日に検知/報告された。Composer の autoloader を介して、ユーザー操作を必要とせずに自動実行される、完全なリモートコード実行 (RCE) バックドアが組み込まれている。
影響を受けたパッケージは、laravel-lang/lang (7.8k GitHub stars) / laravel-lang/attributes / laravel-lang/http-statuses / laravel-lang/actions などである。公式の Laravel フレームワークを構成するものではなく、広く利用されているサードパーティのローカライゼーション・ライブラリである。
Packagist は迅速に対応し、悪意のバージョンを削除し、追加のインストールを防止するために、パッケージの公開を一時的に停止した。
GitHub リポジトリを悪用する Laravel-Lang パッケージ侵害
この攻撃の特徴は、公式リポジトリには、悪意のコードが一切コミットされていない点にある。
GitHub のタグにより、同一リポジトリのフォーク内コミットの参照が可能となっている。この仕組みを悪用する攻撃者は、正規のリリース・タグを装って自身の悪意のフォーク・コミットを参照させたと、Socket は指摘している。
2026年5月22日から23日にかけての短時間で、大量の悪意のタグが公開された。laravel-lang/lang の 12.x/13.x/14.x/15.x 系列、および、laravel-lang/http-statuses/laravel-lang/attributes/laravel-lang/actions 全体にわたり、悪意のタグが数秒間隔で展開された。
Socket の解析により、”composer.json” の autoload.files に登録された悪意の “src/helpers.php” が確認されている。それにより侵害されたアプリケーションでは、すべての PHP リクエストでバックドアが自動実行される。
この “src/helpers.php” は通常の Laravel ローカライゼーション・ヘルパーを装い、無害に見える関数を定義した後に、それまで隠していた自身のコードを起動する。それにより、C2 ドメイン “flipboxstudio[.]info” が array_map(‘chr’, […]) を用いて動的に生成され、静的な解析を回避する。
このドロッパーは、ファイルパス/システム・アーキテクチャ/inode 番号に基づき、MD5 ハッシュでホストを識別し、一度限りの実行マーカーを作成して感染の重複を防止している。
続いて、TLS 検証を無効化した状態で “flipboxstudio[.]info/payload” から第 2段階ペイロードを取得する。このペイロードは、Linux/macOS では exec(“php …”) によりバックグラウンド実行され、Windows では .vbs ランチャーを生成して cscript によりサイレント実行される。
第 2段階ペイロードは、約 5,900行で構成される、クロスプラットフォーム PHP 認証情報窃取マルウェアであり、17の専用収集モジュールで構成される。その後に、収集されたデータは、固定 XOR キー (k9X2mP7vL4nQ8wR1) で暗号化され、”flipboxstudio[.]info/exfil” に送信される。続いて、自身を削除してフォレンジック痕跡を消去する。
このスティーラーが収集する情報の範囲は極めて広範である。
Kubernetes/DevOps:”/var/run/secrets/” の Service Account トークン/kubeconfig/Helm レジストリ/HashiCorp Vault API/Docker config.json
CI/CD パイプライン:Jenkins master.key/credentials.xml/GitHub Actions secrets/GitLab Runner/CircleCI/TravisCI/ArgoCD 設定
開発者認証情報:SSH 秘密鍵/.git-credentials/シェル履歴 (bash/zsh/psql/mysql)/.env/wp-config.php/docker-compose.yml/各種パッケージ・マネージャ認証ファイル (.npmrc/.pypirc/.composer/auth.json)
ブラウザ/パスワード・マネージャ:17種類の Chromium 系ブラウザ/DebugChromium.exe による Chrome v127+ App-Bound Encryption 回避/Firefox NSS 復号/1Password/Bitwarden/LastPass/KeePass/Dashlane/NordPass
暗号資産ウォレット:Bitcoin/Ethereum/Monero、MetaMask/Phantom/Trust Wallet/Rabby/seed.txt/recovery.txt
通信と VPN:Slack と Discord セッション・トークン/Outlook/Thunderbird/NordVPN/ExpressVPN/ProtonVPN/WireGuard/OpenVPN
侵害指標 (IOC)
| Indicator | Type |
|---|---|
flipboxstudio[.]info | C2 domain |
flipboxstudio[.]info/payload | Payload delivery URL |
flipboxstudio[.]info/exfil | Exfiltration endpoint |
src/helpers.php | Malicious dropper file |
autoload.files → src/helpers.php | Composer autoload trigger |
<tmp>/.laravel_locale/<md5_hash> | Per-host infection marker |
<tmp>/.laravel_locale/<12-hex>.php | Dropped stealer payload |
<tmp>/.laravel_locale/<8-hex>.vbs | Windows VBS launcher |
DebugChromium.exe | Chrome DPAPI decryption binary |
169.254.169.254 | Cloud metadata access (EC2 IMDS) |
注記:IP アドレスおよびドメインは意図的に無効化表記としている。再有効化は MISP/VirusTotal/SIEM などの管理環境でのみ実施すべきである。
影響を受けた Laravel-Lang パッケージを使用しているチームは、該当ホストを完全侵害済みとして扱う必要がある。
直ちに composer.lock を監査し、laravel-lang/lang/laravel-lang/http-statuses/laravel-lang/attributes/laravel-lang/actions を確認し、クリーンなバージョンが確認されるまで使用を停止する。
このスティーラーの情報収集範囲を踏まえ、認証情報の全面ローテーションが必須である。特にクラウド認証情報/Kubernetes トークン/Vault トークン/CI/CD シークレット/GitHub と GitLab のトークン/SSH 鍵/データベース認証情報/Laravel APP_KEY/環境変数内のシークレットを優先する。
影響を受けるコンテナ/ホスト/CI ランナーは、クリーンなイメージから再構築すべきである。なお、その対応前には、composer.lock/Composer キャッシュ/DNS/ネットワーク/tmp ディレクトリ内容などのログを保全する必要がある。
訳者後書:Laravel-Lang パッケージに関する問題は、 GitHub のフォーク機能を悪用し、公式リポジトリのソースコードを書き換えることなく、悪意のリリース・タグを参照させるというシステムの問題点に起因します。パッケージ管理ツールである、Composer の自動実行機能を巧みに突いた手口です。これにより、悪意のパッケージを導入するだけでバックドアが自動で稼働し、開発環境やサーバ内の広範な認証情報が窃取されてしまうという状態を招いています。ご利用のチームは、ご注意ください。よろしければ、Laravel での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.