Pacotes Laravel Lang Comprometidos: Ataque à Cadeia de Suprimentos Distribui Malware
Pesquisadores descobriram um ataque à cadeia de suprimentos que comprometeu pacotes de localização Laravel Lang, redirecionando tags do GitHub para commits maliciosos. O malware rouba credenciais de nuvem, chaves SSH, e outros dados sensíveis, afetando usuários de Windows, Linux e macOS.
MundiX News·27 de maio de 2026·3 min de leitura·👁 18 views
Pesquisadores das empresas StepSecurity, Aikido Security e Socket relataram um ataque incomum à cadeia de suprimentos que afetou os populares pacotes de localização Laravel Lang. Desta vez, os invasores não publicaram versões maliciosas nem alteraram o código nos repositórios oficiais. Em vez disso, eles modificaram as tags do GitHub, substituindo-as por commits de forks controlados por eles.
Ataque visou os pacotes laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes e, possivelmente, laravel-lang/actions. Essas são bibliotecas de terceiros para Laravel, não relacionadas ao projeto oficial.
De acordo com especialistas da Aikido, os atacantes comprometeram 233 versões de pacotes, enquanto os analistas da Socket relatam cerca de 700 tags afetadas. Toda a operação maliciosa durou cerca de 15 minutos: as primeiras alterações apareceram na noite de 22 de maio, e à meia-noite todos os quatro repositórios foram comprometidos.
A principal característica desta campanha foi o uso da mecânica do GitHub, que permite que as tags se refiram a commits de forks do mesmo repositório. Como resultado, o Composer carregou código malicioso disfarçado de versões legítimas do Laravel Lang.
Como explicam os especialistas da StepSecurity, o invasor "reatribuiu" as tags existentes a commits maliciosos, em vez de criar novas versões dos pacotes. Em todos os repositórios, os pesquisadores descobriram o mesmo conjunto de alterações, código malicioso idêntico e os mesmos dados do autor dos commits. De acordo com especialistas, isso indica o trabalho de um único atacante, que provavelmente obteve acesso a uma conta com direitos para publicar tags em toda a organização Laravel Lang.
A carga maliciosa adicionou um arquivo src/helpers.php aos pacotes, que foi carregado automaticamente via Composer. O arquivo atuou como um dropper e carregou malware de segundo estágio do domínio flipboxstudio[.]info.
A payload final era um PHP stealer multiplataforma para Windows, Linux e macOS. O malware procurava credenciais de nuvem AWS, GCP e Azure, segredos do Kubernetes, tokens HashiCorp Vault, chaves SSH, configurações Docker e Helm, dados de sistemas CI/CD, arquivos .env, JWT, tokens GitHub, Slack e Stripe, bem como frases semente para carteiras de criptomoedas.
Além disso, o malware coletava dados de navegadores, gerenciadores de senhas, configurações de VPN e credenciais de desenvolvedores. Modelos regex foram usados para pesquisar segredos em arquivos e variáveis de ambiente.
É enfatizado separadamente que em dispositivos com Windows, o ataque foi ainda mais perigoso. O script PHP extraiu um arquivo exe embutido e o executou de um diretório temporário. A análise mostrou que este componente, chamado DebugElevator, atacou Chrome, Brave e Edge, extraindo chaves de Criptografia Vinculada ao Aplicativo para descriptografar senhas salvas.
Os pesquisadores também descobriram o nome de usuário Mero no caminho PDB e uma menção a Claude, o que pode indicar o uso de IA no desenvolvimento do componente Windows do malware.
Apos notificação dos pesquisadores, a administração do Packagist removeu as versões maliciosas e escondeu temporariamente os pacotes afetados para evitar novas instalações e a disseminação de malware.
Especialistas recomendam que todos os desenvolvedores que usaram Laravel Lang verifiquem urgentemente as versões instaladas dos pacotes, alterem chaves e tokens potencialmente comprometidos e também procurem conexões com o domínio flipboxstudio[.]info nos logs.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Pesquisadores das empresas StepSecurity, Aikido Security e Socket relataram um ataque incomum à cadeia de suprimentos que afetou os populares pacotes de localização Laravel Lang. Desta vez, os invasores não publicaram versões maliciosas nem alteraram o código nos repositórios oficiais. Em vez disso, eles modificaram as tags do GitHub, substituindo-as por commits de forks controlados por eles.
Ataque visou os pacotes laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes e, possivelmente, laravel-lang/actions. Essas são bibliotecas de terceiros para Laravel, não relacionadas ao projeto oficial.
De acordo com especialistas da Aikido, os atacantes comprometeram 233 versões de pacotes, enquanto os analistas da Socket relatam cerca de 700 tags afetadas. Toda a operação maliciosa durou cerca de 15 minutos: as primeiras alterações apareceram na noite de 22 de maio, e à meia-noite todos os quatro repositórios foram comprometidos.
A principal característica desta campanha foi o uso da mecânica do GitHub, que permite que as tags se refiram a commits de forks do mesmo repositório. Como resultado, o Composer carregou código malicioso disfarçado de versões legítimas do Laravel Lang.
Como explicam os especialistas da StepSecurity, o invasor "reatribuiu" as tags existentes a commits maliciosos, em vez de criar novas versões dos pacotes. Em todos os repositórios, os pesquisadores descobriram o mesmo conjunto de alterações, código malicioso idêntico e os mesmos dados do autor dos commits. De acordo com especialistas, isso indica o trabalho de um único atacante, que provavelmente obteve acesso a uma conta com direitos para publicar tags em toda a organização Laravel Lang.
A carga maliciosa adicionou um arquivo src/helpers.php aos pacotes, que foi carregado automaticamente via Composer. O arquivo atuou como um dropper e carregou malware de segundo estágio do domínio flipboxstudio[.]info.
A payload final era um PHP stealer multiplataforma para Windows, Linux e macOS. O malware procurava credenciais de nuvem AWS, GCP e Azure, segredos do Kubernetes, tokens HashiCorp Vault, chaves SSH, configurações Docker e Helm, dados de sistemas CI/CD, arquivos .env, JWT, tokens GitHub, Slack e Stripe, bem como frases semente para carteiras de criptomoedas.
Além disso, o malware coletava dados de navegadores, gerenciadores de senhas, configurações de VPN e credenciais de desenvolvedores. Modelos regex foram usados para pesquisar segredos em arquivos e variáveis de ambiente.
É enfatizado separadamente que em dispositivos com Windows, o ataque foi ainda mais perigoso. O script PHP extraiu um arquivo exe embutido e o executou de um diretório temporário. A análise mostrou que este componente, chamado DebugElevator, atacou Chrome, Brave e Edge, extraindo chaves de Criptografia Vinculada ao Aplicativo para descriptografar senhas salvas.
Os pesquisadores também descobriram o nome de usuário Mero no caminho PDB e uma menção a Claude, o que pode indicar o uso de IA no desenvolvimento do componente Windows do malware.
Apos notificação dos pesquisadores, a administração do Packagist removeu as versões maliciosas e escondeu temporariamente os pacotes afetados para evitar novas instalações e a disseminação de malware.
Especialistas recomendam que todos os desenvolvedores que usaram Laravel Lang verifiquem urgentemente as versões instaladas dos pacotes, alterem chaves e tokens potencialmente comprometidos e também procurem conexões com o domínio flipboxstudio[.]info nos logs.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
