UTC时间2026年5月22日到23日,一个名为Laravel Lang的开源社区项目被黑客攻陷。攻击者劫持开发者账号后,以秒级速度发布了700多个恶意版本。这些版本被设计用于下游构建环节,最终目标是窃取被感染设备中的全部机密凭证。

Laravel Lang是Laravel框架的社区本地化项目,并非Laravel官方框架本身。它的多个本地化软件包被众多下游项目依赖。当这些项目进行构建时,会自动加载含恶意代码的软件包。加载器在运行时会触发后门程序,随后恶意代码开始扫描开发环境中的各类凭证,并将其加密传输至黑客控制的服务器

打开网易新闻 查看精彩图片

网络安全公司Socket的情报系统追踪到了这次攻击的时间窗口。最初由Aikido Security发现问题并提交反馈,开发者随后删除了恶意软件包。但安全公司推测,黑客可能已经获取了组织级API凭证,拥有所有仓库的自动化权限和发布基础设施。因为Laravel Lang的GitHub账号下多个仓库都被植入了恶意软件。

受影响的具体软件包包括:Laravel-Lang/lang、Laravel-Lang/http-statuses、Laravel-Lang/attributes、Laravel-Lang/actions。使用这些软件包的开发者需要立即检查构建记录,将所有机密凭证轮换,并核查登录日志是否存在异常行为。

企业可通过防火墙检查是否存在对域名https://flipboxstudio[.]info/payload的访问记录。若存在访问记录,说明可能已遭攻击,需立即排查潜在受影响的设备。基于安全考虑,建议下游开发者暂停拉取Laravel Lang下的任何软件包,待事件调查完成后再做评估。