Investigadores de ciberseguridad han descubierto un nuevo ataque a la cadena de suministro de software dirigido a paquetes PHP de **Laravel-Lang** para distribuir un completo framework de robo de credenciales. Este ataque resalta la creciente sofisticación y el impacto potencial de las vulnerabilidades en la cadena de suministro. ### Paquetes Afectados Los paquetes comprometidos incluyen: * laravel-lang/lang * laravel-lang/http-statuses * laravel-lang/attributes * laravel-lang/actions **Socket** informó que el momento de las etiquetas publicadas sugiere un compromiso más amplio del proceso de lanzamiento de la organización **Laravel Lang**. Las etiquetas se publicaron rápidamente el 22 y 23 de mayo de 2026 (Nota: El año es probablemente un error tipográfico en la fuente), con muchas versiones apareciendo en cuestión de segundos. Se cree que el atacante obtuvo acceso a credenciales a nivel de organización, automatización de repositorios o infraestructura de lanzamiento. Se han identificado más de 700 versiones como parte de este evento automatizado de etiquetado masivo o republicación. ### Vector de Ataque Un aspecto único de este ataque es que el código fuente del proyecto no fue modificado directamente. En cambio, los atacantes reescribieron cada etiqueta Git existente en cada repositorio para apuntar a un nuevo commit malicioso. El código malicioso reside en `src/helpers.php`, que está incrustado en las etiquetas de versión. Este archivo registra la huella digital del host infectado y se comunica con un servidor externo (`flipboxstudio[.]info`) para recuperar un payload multiplataforma basado en PHP para Windows, Linux y macOS. **StepSecurity** señaló que el atacante agregó `src/helpers.php` al mapa `autoload.files` en cada paquete comprometido. Dado que cada aplicación **Laravel** llama a `require __DIR__.'/vendor/autoload.php'` al iniciar, el payload se ejecuta inmediatamente al arrancar, sin necesidad de instanciación de clases o llamadas a métodos. ### Ejecución del Payload Según **Aikido Security**, el dropper entrega un lanzador de **Visual Basic Script** en Windows, ejecutado a través de `cscript`. En Linux y macOS, ejecuta el payload del ladrón usando `exec()`. **Socket** explicó que debido a que `src/helpers.php` está registrado en `composer.json` bajo `autoload.files`, la backdoor se ejecuta automáticamente en cada solicitud PHP manejada por la aplicación comprometida. El script genera un marcador único por host (un hash MD5 que combina la ruta del directorio, la arquitectura del sistema y el inodo) para garantizar que el payload se active solo una vez por máquina, evitando ejecuciones redundantes y ayudando a permanecer indetectado. ### Exfiltración de Datos El ladrón recopila una amplia gama de datos de los sistemas comprometidos y los exfiltra a `flipboxstudio[.]info`. Los datos objetivo incluyen: * Roles de IAM y documentos de identidad de instancia de puntos finales de metadatos en la nube. * Credenciales predeterminadas de aplicaciones de **Google Cloud**. * Tokens de acceso y perfiles de entidad de servicio de **Microsoft Azure**. * Tokens de Cuenta de Servicio de **Kubernetes** y configuraciones del registro Helm. * Tokens de autenticación para **DigitalOcean**, **Heroku**, **Vercel**, **Netlify**, **Railway** y **Fly.io**. * Tokens de **HashiCorp Vault**. * Tokens y configuraciones de **Jenkins**, **GitLab Runners**, **GitHub Actions**, **CircleCI**, **TravisCI** y **ArgoCD**. * Frases semilla y archivos asociados con billeteras de criptomonedas (Electrum, Exodus, Atomic, Ledger Live, Trezor, Wasabi y Sparrow) y extensiones (MetaMask, Phantom, Trust Wallet, Ronin, Keplr, Solflare y Rabby). * Historial del navegador, cookies y datos de inicio de sesión de **Google Chrome**, **Microsoft Edge**, **Mozilla Firefox**, **Brave** y **Opera**, eludiendo el cifrado enlazado a la aplicación (**ABE**) de **Chromium**. * Bóvedas locales y datos de extensiones del navegador para **1Password**, **Bitwarden**, **LastPass**, **KeePass**, **Dashlane** y **NordPass**. * Sesiones guardadas de **PuTTY**/WinSCP. * Volcados del Administrador de Credenciales de Windows. * Archivos RDP. * Tokens de sesión asociados con aplicaciones como **Discord**, **Slack** y **Telegram**. * Datos de **Microsoft Outlook**, **Thunderbird** y clientes FTP populares (FileZilla, WinSCP y CoreFTP). * Archivos de configuración y credenciales que contienen tokens de autenticación de **Docker**, claves privadas SSH, credenciales Git, archivos de historial de shell, archivos de historial de bases de datos, configuraciones de clúster de **Kubernetes**, archivos `.env`, `wp-config.php` y `docker-compose.yml`. * Variables de entorno cargadas en el proceso PHP. * Credenciales de control de origen de archivos globales y locales `.gitconfig`, `.git-credentials` y `.netrc`. * Configuración de VPN y archivos de inicio de sesión guardados para **OpenVPN**, **WireGuard**, **NetworkManager** y VPN comerciales como **NordVPN**, **ExpressVPN**, **CyberGhost** y **Mullvad**. El investigador de **Aikido**, Ilyas Makari, declaró que el payload descargado es un ladrón de credenciales PHP de aproximadamente 5.900 líneas, organizado en quince módulos coleccionistas especializados. Después de recopilar los datos, cifra los resultados con AES-256 y los envía a `flipboxstudio[.]info/exfil`, luego se elimina para limitar la evidencia forense.