Laravel Lang 套件供應鏈攻擊事件(2026年5月)

2026年5月22日,資安公司 Aikido 揭露 PHP 開發框架 Laravel 的語言套件(laravel-lang/*)遭供應鏈攻擊,超過 700 個套件版本被植入憑證竊取惡意程式碼。

攻擊範圍

套件遭竄改標籤數
laravel-lang/lang502個(全部)
laravel-lang/attributes86個
laravel-lang/actions46個
laravel-lang/http-statusesv1.0.0~v3.4.5 全部

攻擊手法

  • 攻擊者入侵 GitHub 儲存庫,發布指向惡意 fork 的標籤(tag)
  • 惡意程式碼未提交至官方儲存庫,難以察覺
  • 透過 Composer 自動載入(autoload) 功能執行惡意程式碼
  • 所有標籤被強制推送覆蓋,即使舊版本也顯示近期建立時間

惡意程式碼竊取範圍

利用龐大正規表達式字典搜刮:API 金鑰、雲端環境憑證、容器、HashiCorp Vault、CI/CD 管道、加密貨幣錢包、瀏覽器、密碼管理工具、即時通訊軟體、FTP 程式。

應對措施

  • Packagist 已移除惡意版本並暫時下架受影響套件
  • 安全判斷方式:以 2026年5月22日前的提交 SHA 雜湊值驗證本機版本

來源文章

相關頁面