サイバーセキュリティ研究者らが、**Laravel-Lang** PHPパッケージを標的とした新たなソフトウェアサプライチェーン攻撃を発見しました。この攻撃は、包括的な認証情報窃盗フレームワークを配布するために行われており、サプライチェーンの脆弱性の洗練度と潜在的な影響の高まりを浮き彫りにしています。 ### 影響を受けるパッケージ 侵害されたパッケージは以下の通りです。 * laravel-lang/lang * laravel-lang/http-statuses * laravel-lang/attributes * laravel-lang/actions **Socket**の報告によると、公開されたタグのタイミングは、**Laravel Lang**組織のリリースプロセス全体が広範に侵害されたことを示唆しています。タグは2026年5月22日と23日（注：年はソースの誤記の可能性が高い）に急速に公開され、多くのバージョンが数秒おきに出現しました。 攻撃者は組織レベルの認証情報、リポジトリ自動化、またはリリースインフラストラクチャにアクセスしたと考えられています。700以上のバージョンが、この自動化された大量タグ付けまたは再公開イベントの一部として特定されています。 ### 攻撃ベクトル この攻撃のユニークな点は、プロジェクトのソースコードが直接変更されなかったことです。代わりに、攻撃者は各リポジトリの既存のGitタグをすべて書き換え、新しい悪意のあるコミットを指すようにしました。 悪意のあるコードは`src/helpers.php`に存在し、バージョンタグに埋め込まれています。このファイルは感染したホストをフィンガープリントし、外部サーバー（`flipboxstudio[.]info`）と通信して、Windows、Linux、macOS向けのPHPベースのクロスプラットフォームペイロードを取得します。 **StepSecurity**は、攻撃者が侵害された各パッケージの`composer.json`の`autoload.files`マップに`src/helpers.php`を追加したと指摘しています。すべての**Laravel**アプリケーションは起動時に`require __DIR__.'/vendor/autoload.php'`を呼び出すため、クラスのインスタンス化やメソッド呼び出しを必要とせずに、起動直後にペイロードが実行されます。 ### ペイロード実行 **Aikido Security**によると、ドロッパーはWindows上で**Visual Basic Script**ランチャーを配布し、`cscript`経由で実行されます。LinuxとmacOSでは、`exec()`を使用してスティラーペイロードを実行します。 **Socket**は、`src/helpers.php`が`composer.json`の`autoload.files`に登録されているため、侵害されたアプリケーションが処理するすべてのPHPリクエストでバックドアが自動的に実行されると説明しています。 スクリプトは、ペイロードがマシンごとに一度だけトリガーされることを保証し、冗長な実行を防ぎ、検出を回避するのに役立つ、ホストごとに固有のマーカー（ディレクトリパス、システムアーキテクチャ、inodeを組み合わせたMD5ハッシュ）を生成します。 ### データ漏洩 スティラーは、侵害されたシステムから広範囲のデータを収集し、`flipboxstudio[.]info`に漏洩させます。標的となるデータには以下が含まれます。 * クラウドメタデータエンドポイントからのIAMロールとインスタンスIDドキュメント。 * **Google Cloud**アプリケーションデフォルト認証情報。 * **Microsoft Azure**アクセス トークンとサービス プリンシパル プロファイル。 * **Kubernetes** Service Account トークンとHelmレジストリ構成。 * **DigitalOcean**、**Heroku**、**Vercel**、**Netlify**、**Railway**、**Fly.io**の認証トークン。 * **HashiCorp Vault**トークン。 * **Jenkins**、**GitLab Runners**、**GitHub Actions**、**CircleCI**、**TravisCI**、**ArgoCD**からのトークンと構成。 * 暗号通貨ウォレット（Electrum、Exodus、Atomic、Ledger Live、Trezor、Wasabi、Sparrow）および拡張機能（MetaMask、Phantom、Trust Wallet、Ronin、Keplr、Solflare、Rabby）に関連するシードフレーズとファイル。 * **Google Chrome**、**Microsoft Edge**、**Mozilla Firefox**、**Brave**、**Opera**からのブラウザ履歴、Cookie、ログインデータ。**Chromium**のアプリバウンド暗号化（ABE）をバイパスします。 * **1Password**、**Bitwarden**、**LastPass**、**KeePass**、**Dashlane**、**NordPass**のローカルボールトとブラウザ拡張機能データ。 * **PuTTY**/WinSCPの保存済みセッション。 * Windows資格情報マネージャーのダンプ。 * RDPファイル。 * **Discord**、**Slack**、**Telegram**などのアプリケーションに関連付けられたセッショントークン。 * **Microsoft Outlook**、**Thunderbird**、および一般的なFTPクライアント（FileZilla、WinSCP、CoreFTP）からのデータ。 * **Docker**認証トークン、SSH秘密鍵、Git認証情報、シェル履歴ファイル、データベース履歴ファイル、**Kubernetes**クラスタ構成、`.env`ファイル、`wp-config.php`、`docker-compose.yml`を含む構成および認証情報ファイル。 * PHPプロセスにロードされた環境変数。 * グローバルおよびローカルの`.gitconfig`ファイル、`.git-credentials`、`.netrc`ファイルからのソース管理認証情報。 * **OpenVPN**、**WireGuard**、**NetworkManager**、および**NordVPN**、**ExpressVPN**、**CyberGhost**、**Mullvad**などの商用VPNのVPN構成および保存済みログインファイル。 **Aikido**の研究者であるIlyas Makari氏は、取得されたペイロードは約5,900行のPHP認証情報スティラーであり、15の専門コレクターモジュールに編成されていると述べています。データを収集した後、結果をAES-256で暗号化し、`flipboxstudio[.]info/exfil`に送信してから、フォレンジック証拠を制限するために自己削除します。