Laravel Lang 套件供應鏈攻擊事件(2026年5月)
2026年5月22日,資安公司 Aikido 揭露 PHP 開發框架 Laravel 的語言套件(laravel-lang/*)遭供應鏈攻擊,超過 700 個套件版本被植入憑證竊取惡意程式碼。
攻擊範圍
| 套件 | 遭竄改標籤數 |
|---|---|
laravel-lang/lang | 502個(全部) |
laravel-lang/attributes | 86個 |
laravel-lang/actions | 46個 |
laravel-lang/http-statuses | v1.0.0~v3.4.5 全部 |
攻擊手法
- 攻擊者入侵 GitHub 儲存庫,發布指向惡意 fork 的標籤(tag)
- 惡意程式碼未提交至官方儲存庫,難以察覺
- 透過 Composer 自動載入(autoload) 功能執行惡意程式碼
- 所有標籤被強制推送覆蓋,即使舊版本也顯示近期建立時間
惡意程式碼竊取範圍
利用龐大正規表達式字典搜刮:API 金鑰、雲端環境憑證、容器、HashiCorp Vault、CI/CD 管道、加密貨幣錢包、瀏覽器、密碼管理工具、即時通訊軟體、FTP 程式。
應對措施
- Packagist 已移除惡意版本並暫時下架受影響套件
- 安全判斷方式:以 2026年5月22日前的提交 SHA 雜湊值驗證本機版本
來源文章
相關頁面
- aikido — 揭露此事件的資安公司
- software-supply-chain-attack — 軟體供應鏈攻擊通用概念