Origine : bjCSIRT
Numéro : 2026/ALERTE/040
APERÇU :
Une campagne de compromission de la chaîne d’approvisionnement visant le projet open-source Laravel Lang permettrait à un acteur malveillant d’exécuter du code arbitraire et d’exfiltrer des données sensibles sur les systèmes affectés.
DESCRIPTION
Laravel Lang est un projet open-source proposant des paquets de localisation et d’internationalisation pour les applications Laravel, distribués via Packagist, le registre officiel des paquets Composer pour PHP.
Le 23 mai 2026, une compromission de la chaîne d’approvisionnement affectant l’organisation GitHub Laravel-Lang a été découverte par les équipes de Socket et Aikido. Des acteurs malveillants ont manipulé le système de tags GitHub afin de faire pointer des tags de versions légitimes vers un fork malveillant, introduisant un backdoor permettant une exécution de code à distance (RCE) dans plus de 700 versions des paquets laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes et laravel-lang/actions.
Les versions compromises intègrent un fichier malveillant nommé src/helpers.php, automatiquement exécuté via l’entrée autoload.files du fichier composer.json. Le code malveillant agit comme un stealer multi-plateforme permettant l’exfiltration de données sensibles présents sur les systèmes affectés. Le malware cible notamment les fichiers .env, les clés SSH, les jetons CI/CD, les identifiants cloud (AWS, Azure, GCP), les jetons Kubernetes, les identifiants GitHub/GitLab/Bitbucket, ainsi que diverses informations stockées sur les postes de développement et les environnements serveurs.
Cette compromission permettrait à un acteur malveillant d’exécuter du code arbitraire à distance et d’exfiltrer des données sensibles depuis les systèmes utilisant des versions compromises des packages Laravel Lang.
IMPACT
- Exécution de code à distance ;
- Atteinte à la confidentialité des données ;
- Vol de secrets d’infrastructure ;
- Compromission de l’intégrité du système et de la chaîne de déploiement.
SYSTEMES AFFECTÉS
- Les paquets Composer laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes et laravel-lang/actions dans leurs versions compromises ;
- Tout système (poste développeur, serveur CI/CD, environnement de production) ayant exécuté composer install ou composer update en intégrant l’une des versions affectées est considéré comme compromis.
MESURES À PRENDRE :
- Vérifier le fichier composer.lock pour identifier la présence des paquets laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes et laravel-lang/actions dans leurs versions compromises et les bloquer jusqu’à confirmation de la disponibilité de versions saines ;
- Réinitialiser immédiatement l’ensemble des secrets exposés aux environnements affectés ;
- Reconstruire les hôtes, conteneurs et pipelines CI/CD affectés à partir d’images saines connues ;
- Auditer les journaux réseau sortants pour détecter toute connexion suspecte vers flipboxstudio[.]info ;
- Bloquer les indicateurs de compromission réseaux présentés au niveau de la section correspondante ;
- Préserver les journaux et artefacts avant toute opération de nettoyage : composer.lock, cache Composer, journaux de déploiement, journaux d’exécution de processus, journaux réseau/DNS, journaux d’audit cloud et Kubernetes, contenu des répertoires temporaires.
INDICATEURS DE COMPROMISSION:
Packages compromis
- laravel-lang/lang
- laravel-lang/http-statuses
- laravel-lang/attributes
- laravel-lang/actions
(La liste des versions associées est présente au niveau de la première référence).
Fichier et répertoire malveillants
- src/helpers.php
- sys_get_temp_dir()/.laravel_locale/
- DebugChromium.exe
Indicateurs réseaux
- flipboxstudio[.]info
- hxxps://flipboxstudio[.]info/payload
- hxxps://flipboxstudio[.]info/exfil
- 169.254.169[.]254
RÉFÉRENCES :