Pacotes PHP do Laravel-Lang são comprometidos para entregar credential stealer multiplataforma

Pesquisadores de cibersegurança identificaram um novo ataque de supply-chain envolvendo pacotes PHP da organização Laravel-Lang, com mais de 700 versões maliciosas publicadas em ritmo automatizado entre 22 e 23 de maio de 2026. O comprometimento entrega um stealer multiplataforma capaz de exfiltrar credenciais de gerenciadores de senha, tokens de sessão de Slack e Discord, chaves SSH, arquivos .env, wp-config.php e configurações de VPN em sistemas Windows, Linux e macOS.

O que aconteceu

Os pacotes afetados são amplamente utilizados em projetos Laravel para tradução, status HTTP, atributos e ações de modelos. A lista divulgada pelas empresas Socket e Aikido Security inclui laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes e laravel-lang/actions. Em conjunto, esses componentes acumulam centenas de milhões de downloads históricos no ecossistema PHP.

O padrão observado no repositório aponta para algo bem além da publicação isolada de uma versão envenenada. Em poucas horas, mais de 700 tags foram criadas em sequência, muitas separadas por apenas segundos, indicando automação direta sobre a infraestrutura de release da organização. A hipótese predominante é o comprometimento de credenciais administrativas ou de tokens de automação utilizados no processo de publicação dos pacotes.

Ao instalar ou atualizar uma dessas versões maliciosas, o desenvolvedor introduz silenciosamente um backdoor em qualquer aplicação PHP que faça uso da biblioteca, o que amplia drasticamente o raio do incidente.

Como o ataque funciona

A funcionalidade maliciosa fica concentrada em um único arquivo, src/helpers.php, embutido em cada uma das versões publicadas. Esse arquivo é registrado no composer.json dentro de autoload.files, o que garante execução automática em toda requisição PHP processada pela aplicação infectada — uma posição privilegiada que dispensa qualquer interação do operador para manter o acesso ativo.

Após a primeira execução, o código gera um identificador único por máquina, combinando caminho do diretório, arquitetura do sistema e o número de inode em um hash MD5. Esse marcador serve como controle de execução, evitando que o payload seja disparado mais de uma vez na mesma instância e ajudando o malware a permanecer despercebido em revisões superficiais de log.

O dropper conecta-se ao domínio flipboxstudio[.]info para baixar a carga útil principal: um stealer PHP com aproximadamente 5.900 linhas, dividido em módulos despachados conforme o sistema operacional do host. Em Windows, um launcher em Visual Basic Script é executado via cscript; em Linux e macOS, o payload é disparado diretamente por meio de exec().

“O momento e o padrão das novas tags apontam para um comprometimento mais amplo do processo de release da organização Laravel-Lang, e não para uma única versão maliciosa pontual”, afirmou a Socket em sua análise.

Quem é afetado e o que é roubado

O escopo de coleta é deliberadamente abrangente, mirando desde dados pessoais sensíveis até segredos operacionais de infraestrutura. Entre os artefatos exfiltrados estão:

• Cofres e extensões de navegador dos gerenciadores 1Password, Bitwarden, LastPass, KeePass, Dashlane e NordPass.
• Sessões salvas em PuTTY e WinSCP, dumps do Windows Credential Manager e arquivos RDP.
• Tokens de sessão de aplicações como Discord, Slack e Telegram.
• Dados de Microsoft Outlook, Thunderbird e clientes FTP como FileZilla e CoreFTP.
• Tokens de autenticação Docker, chaves SSH privadas, credenciais Git, históricos de shell, configurações de cluster Kubernetes, arquivos .env, wp-config.php e docker-compose.yml.
• Variáveis de ambiente do processo PHP e credenciais lidas de .gitconfig, .git-credentials e .netrc.
• Configurações de VPN para OpenVPN, WireGuard, NetworkManager, NordVPN, ExpressVPN, CyberGhost e Mullvad.

Análise

O caso Laravel-Lang reforça uma tendência consolidada nos últimos anos: ataques de supply-chain deixaram de ser pontuais e estão cada vez mais voltados a comprometer pipelines inteiros de publicação. Vimos padrão semelhante em incidentes envolvendo pacotes npm de alta popularidade, na campanha contra mantenedores do PyPI e, mais recentemente, em ações que se aproveitaram de tokens vazados de GitHub Actions. A diferença aqui é a escala vertical — 700 versões em horas — algo só viável quando o invasor controla diretamente a infraestrutura de release.

Outro ponto crítico é o uso do gatilho autoload.files, que transforma o backdoor em código carregado em todas as requisições, sem qualquer condição. Essa escolha torna o impacto especialmente severo em aplicações de alto tráfego e em workloads PHP rodando em filas, jobs em background ou microserviços, onde cada execução vira uma oportunidade de roubo de segredos. A coleção de credenciais visadas é, ela própria, um indicador do alvo final: ambientes corporativos com Kubernetes, repositórios privados, infraestrutura como código e cofres de senhas — exatamente o tipo de pivô usado em ataques posteriores de duplo objetivo, como ransomware ou espionagem.

Recomendações práticas

• Audite imediatamente os arquivos composer.lock em todas as aplicações que usam pacotes do Laravel-Lang e fixe versões anteriores a 22 de maio de 2026.
• Bloqueie no firewall e em DNS interno o domínio flipboxstudio[.]info, considerando-o IOC ativo.
• Procure pela presença do arquivo src/helpers.php dentro dos diretórios vendor/laravel-lang/ e remova as versões comprometidas; reinstale a partir de cache limpo apenas após confirmar a integridade.
• Rotacione credenciais expostas em .env, wp-config.php, tokens de provedores cloud, chaves SSH, credenciais Git e tokens de Slack/Discord usados pelas aplicações afetadas.
• Habilite verificação de integridade automatizada em pipelines CI/CD, com bloqueio de pacotes que mudaram subitamente entre execuções.
• Considere mover dependências críticas para mirrors internos com whitelisting de versões aprovadas, em vez de consumir diretamente do Packagist.

Fonte: The Hacker News