PHP開發框架Laravel的語言套件遭挾持,駭客植入竊資軟體
事件概述
2026年5月下旬,Laravel-Lang組織遭大規模供應鏈攻擊。攻擊者入侵發佈流程,在超過700個第三方在地化套件中植入RCE後門,旨在竊取開發者、CI/CD系統的憑證與敏感資料。
攻擊細節
攻擊者針對三個Laravel語言套件專案(laravel-lang/lang、laravel-lang/attributes、laravel-lang/http-statuses)發布惡意版本,並透過Composer元件的自動載入功能執行惡意程式碼。
惡意程式碼設計用於竊取開發者的登入憑證與系統權限資訊,一旦被惡意載入,可能導致整個開發環境被入侵。
影響範圍與後續
- 受影響的套件包括:laravel-lang/lang、laravel-lang/attributes、laravel-lang/http-statuses。
- 攻擊者透過供應鏈漏洞,將惡意程式碼植入開源套件,並透過自動化工具擴散至全球開發者。
- 相關開發社群已發出警告,建議所有使用者立即更新或移除相關套件,並加強對第三方套件來源的審查。