PHP開發框架Laravel的語言套件遭挾持,駭客植入竊資軟體

來源: iThome | ID: 566 | URL: https://www.ithome.com.tw/news/176082 | 日期: 2026-05-25

事件概述

2026年5月22日,資安公司 Aikido 揭露 Laravel Lang 套件遭供應鏈攻擊,GitHub 儲存庫遭入侵並植入憑證竊取惡意程式碼。

受影響套件

套件遭竄改標籤數
laravel-lang/lang502個(全部)
laravel-lang/attributes86個
laravel-lang/actions46個
laravel-lang/http-statusesv1.0.0~v3.4.5 全部
  • 總計:超過 700個套件版本含惡意程式碼

攻擊手法

  • 攻擊者入侵 GitHub 儲存庫,發布指向惡意 fork 的標籤(tag)
  • 惡意程式碼未提交至官方儲存庫,難以察覺
  • 透過 Composer 自動載入(autoload) 功能執行惡意程式碼
  • 所有標籤被強制推送覆蓋,即使舊版本也顯示近期建立時間
  • 部分標籤間隔僅幾秒連續發布(異常跡象)

惡意程式碼竊取範圍

  • API 金鑰、雲端環境憑證
  • 容器、HashiCorp Vault
  • CI/CD 管道
  • 加密貨幣錢包
  • 瀏覽器、密碼管理工具
  • 即時通訊軟體、FTP 程式
  • 系統資訊與環境變數

應對措施

  • Packagist 已移除惡意版本並暫時下架受影響套件
  • 安全判斷方式:以 2026年5月22日前的提交 SHA 雜湊值驗證本機版本
  • 目前無鎖定的安全版本可直接使用

衍生頁面