PHP開發框架Laravel的語言套件遭挾持,駭客植入竊資軟體
來源: iThome | ID: 566 | URL: https://www.ithome.com.tw/news/176082 | 日期: 2026-05-25
事件概述
2026年5月22日,資安公司 Aikido 揭露 Laravel Lang 套件遭供應鏈攻擊,GitHub 儲存庫遭入侵並植入憑證竊取惡意程式碼。
受影響套件
| 套件 | 遭竄改標籤數 |
|---|---|
laravel-lang/lang | 502個(全部) |
laravel-lang/attributes | 86個 |
laravel-lang/actions | 46個 |
laravel-lang/http-statuses | v1.0.0~v3.4.5 全部 |
- 總計:超過 700個套件版本含惡意程式碼
攻擊手法
- 攻擊者入侵 GitHub 儲存庫,發布指向惡意 fork 的標籤(tag)
- 惡意程式碼未提交至官方儲存庫,難以察覺
- 透過 Composer 自動載入(autoload) 功能執行惡意程式碼
- 所有標籤被強制推送覆蓋,即使舊版本也顯示近期建立時間
- 部分標籤間隔僅幾秒連續發布(異常跡象)
惡意程式碼竊取範圍
- API 金鑰、雲端環境憑證
- 容器、HashiCorp Vault
- CI/CD 管道
- 加密貨幣錢包
- 瀏覽器、密碼管理工具
- 即時通訊軟體、FTP 程式
- 系統資訊與環境變數
應對措施
- Packagist 已移除惡意版本並暫時下架受影響套件
- 安全判斷方式:以 2026年5月22日前的提交 SHA 雜湊值驗證本機版本
- 目前無鎖定的安全版本可直接使用
衍生頁面
- Laravel Lang套件供應鏈攻擊駭客植入竊資軟體事件2026 — 核心事件概念頁
- aikido — 揭露此攻擊的資安公司