Laravel Lang скомпрометирован: бэкдор RCE крадет секреты
Проект Laravel Lang столкнулся с масштабным инцидентом безопасности: более 700 версий пакетов локализации были скомпрометированы через бэкдоры Remote Code Execution (RCE). Под удар попали, в частности, пакеты laravel-lang/lang и laravel-lang/http-statuses. Хотя они не входят в состав официального фреймворка Laravel, эти компоненты широко используются в Laravel-приложениях, а потому компрометация затронула значительное число систем.
Особую опасность инциденту придает способ распространения: скомпрометированные версии автоматически запускались Composer autoloader во время стандартного выполнения приложения. Иными словами, вредоносный код активировался без дополнительных действий со стороны пользователя — достаточно было обычного PHP-запроса.
Что произошло в Laravel Lang
По данным отчета, масштабная компрометация сопровождалась необычной активностью в организации Laravel Lang на GitHub. Почти одновременно 22 и 23 мая 2026 года в нескольких репозиториях произошла вспышка создания новых тегов. Такая синхронность указывает на организованную атаку.
Подобный сценарий может означать, что злоумышленник получил доступ к учетным данным уровня организации либо использовал автоматизацию репозиториев для массовой публикации вредоносных версий пакетов.
Как был встроен бэкдор
Основной вредоносный код находился в файле src/helpers.php, который был указан в composer.json в разделе autoload.files. Это решение делает файл частью стандартной процедуры загрузки, поэтому бэкдор срабатывал при каждом запуске приложения.
Такой механизм особенно опасен, поскольку он позволяет встроить вредоносную функциональность в обычный рабочий процесс системы и скрыть ее за легитимной логикой пакета.
Техники уклонения и возможности вредоносного ПО
Вредоносный скрипт демонстрирует развитые техники сокрытия и контроля. Среди них:
- динамическая генерация имени хоста для C2, чтобы затруднить обнаружение;
- отключение проверки TLS при получении полезной нагрузки;
- использование жестко закодированного ключа шифрования для XOR-шифрования собранных данных;
- создание уникального идентификатора для каждого хоста, чтобы избежать повторного выполнения после первого запуска.
По сути, это PHP-based malware выполняет роль полезной нагрузки второго этапа и предназначен для кражи конфиденциальных данных с затронутых систем. Он работает на нескольких платформах, включая Linux, macOS и Windows.
Какие данные собирались
После активации ВПО запускало процесс систематического сбора учетных данных и секретов из разных источников. В отчете отмечается, что целью становились не только локальные конфигурации, но и облачные среды, CI/CD pipelines и password managers.
Среди конкретных категорий данных, на которые был нацелен вредоносный код:
- ключи AWS;
- токены Kubernetes;
- учетные данные Git;
- сохраненные конфигурации VPN.
Такой набор целей указывает на попытку получить доступ не только к отдельному серверу, но и к более широкой инфраструктуре организации, включая cloud-окружения и системы разработки.
Что рекомендуют организациям
Авторы отчета подчеркивают: организации, использующие затронутые пакеты Laravel Lang, должны рассматривать свои системы как потенциально скомпрометированные.
Рекомендуемые меры включают:
- немедленную проверку файлов composer.lock для выявления затронутых пакетов;
- блокировку скомпрометированных версий;
- смену учетных данных и секретов, которые могли быть раскрыты;
- сохранение журналов и артефактов для возможного криминалистического анализа;
- полную пересборку затронутой среды, чтобы исключить дальнейшее присутствие вредоносного кода.
В условиях такой атаки стандартной проверки на наличие уязвимостей недостаточно: речь идет о вероятной компрометации цепочки поставки программного обеспечения, а значит, приоритетом становится не только устранение вредоносного пакета, но и проверка всей инфраструктуры на предмет последствий инцидента.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
