Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

Laravel Lang скомпрометирован: бэкдор RCE крадет секреты

3 мин
Проект Laravel Lang столкнулся с масштабным инцидентом безопасности: более 700 версий пакетов локализации были скомпрометированы через бэкдоры Remote Code Execution (RCE). Под удар попали, в частности, пакеты laravel-lang/lang и laravel-lang/http-statuses. Хотя они не входят в состав официального фреймворка Laravel, эти компоненты широко используются в Laravel-приложениях, а потому компрометация затронула значительное число систем. Особую опасность инциденту придает способ распространения: скомпрометированные версии автоматически запускались Composer autoloader во время стандартного выполнения приложения. Иными словами, вредоносный код активировался без дополнительных действий со стороны пользователя — достаточно было обычного PHP-запроса. По данным отчета, масштабная компрометация сопровождалась необычной активностью в организации Laravel Lang на GitHub. Почти одновременно 22 и 23 мая 2026 года в нескольких репозиториях произошла вспышка создания новых тегов. Такая синхронность указыв
Оглавление

Проект Laravel Lang столкнулся с масштабным инцидентом безопасности: более 700 версий пакетов локализации были скомпрометированы через бэкдоры Remote Code Execution (RCE). Под удар попали, в частности, пакеты laravel-lang/lang и laravel-lang/http-statuses. Хотя они не входят в состав официального фреймворка Laravel, эти компоненты широко используются в Laravel-приложениях, а потому компрометация затронула значительное число систем.

Особую опасность инциденту придает способ распространения: скомпрометированные версии автоматически запускались Composer autoloader во время стандартного выполнения приложения. Иными словами, вредоносный код активировался без дополнительных действий со стороны пользователя — достаточно было обычного PHP-запроса.

Что произошло в Laravel Lang

По данным отчета, масштабная компрометация сопровождалась необычной активностью в организации Laravel Lang на GitHub. Почти одновременно 22 и 23 мая 2026 года в нескольких репозиториях произошла вспышка создания новых тегов. Такая синхронность указывает на организованную атаку.

Подобный сценарий может означать, что злоумышленник получил доступ к учетным данным уровня организации либо использовал автоматизацию репозиториев для массовой публикации вредоносных версий пакетов.

Как был встроен бэкдор

Основной вредоносный код находился в файле src/helpers.php, который был указан в composer.json в разделе autoload.files. Это решение делает файл частью стандартной процедуры загрузки, поэтому бэкдор срабатывал при каждом запуске приложения.

Такой механизм особенно опасен, поскольку он позволяет встроить вредоносную функциональность в обычный рабочий процесс системы и скрыть ее за легитимной логикой пакета.

Техники уклонения и возможности вредоносного ПО

Вредоносный скрипт демонстрирует развитые техники сокрытия и контроля. Среди них:

  • динамическая генерация имени хоста для C2, чтобы затруднить обнаружение;
  • отключение проверки TLS при получении полезной нагрузки;
  • использование жестко закодированного ключа шифрования для XOR-шифрования собранных данных;
  • создание уникального идентификатора для каждого хоста, чтобы избежать повторного выполнения после первого запуска.

По сути, это PHP-based malware выполняет роль полезной нагрузки второго этапа и предназначен для кражи конфиденциальных данных с затронутых систем. Он работает на нескольких платформах, включая Linux, macOS и Windows.

Какие данные собирались

После активации ВПО запускало процесс систематического сбора учетных данных и секретов из разных источников. В отчете отмечается, что целью становились не только локальные конфигурации, но и облачные среды, CI/CD pipelines и password managers.

Среди конкретных категорий данных, на которые был нацелен вредоносный код:

  • ключи AWS;
  • токены Kubernetes;
  • учетные данные Git;
  • сохраненные конфигурации VPN.

Такой набор целей указывает на попытку получить доступ не только к отдельному серверу, но и к более широкой инфраструктуре организации, включая cloud-окружения и системы разработки.

Что рекомендуют организациям

Авторы отчета подчеркивают: организации, использующие затронутые пакеты Laravel Lang, должны рассматривать свои системы как потенциально скомпрометированные.

Рекомендуемые меры включают:

  • немедленную проверку файлов composer.lock для выявления затронутых пакетов;
  • блокировку скомпрометированных версий;
  • смену учетных данных и секретов, которые могли быть раскрыты;
  • сохранение журналов и артефактов для возможного криминалистического анализа;
  • полную пересборку затронутой среды, чтобы исключить дальнейшее присутствие вредоносного кода.

В условиях такой атаки стандартной проверки на наличие уязвимостей недостаточно: речь идет о вероятной компрометации цепочки поставки программного обеспечения, а значит, приоритетом становится не только устранение вредоносного пакета, но и проверка всей инфраструктуры на предмет последствий инцидента.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Laravel Lang скомпрометирован: бэкдор RCE крадет секреты".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.