Хакеры использовали уязвимость механизма синхронизации GitHub и Packagist для внедрения инфостилера
NewsMakerМасштабная атака затронула более 700 версий, а защита даже не сработала.
Популярные пакеты Laravel-Lang оказались втянуты в крупную атаку на цепочку поставок: злоумышленник не стал добавлять вредоносный код в основные репозитории, а подменил исторические теги релизов. Из-за такого приёма заражённая версия могла выглядеть как обычное обновление и запускалась автоматически при работе приложения.
По данным Aikido , Step Security и Snyk , атака началась 22 мая 2026 года и затронула пакеты laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/actions и laravel-lang/attributes, опубликованные через Packagist. Эти библиотеки используют в Laravel-проектах для переводов, сообщений валидации и описаний HTTP-статусов. Snyk оценивает масштаб заражения более чем в 700 исторических версий, хотя первые отчёты говорили примерно о 233 вредоносных релизах.
Злоумышленник воспользовался особенностью связки GitHub и Packagist: теги могли указывать на коммиты из контролируемого атакующим форка, а не на код из официального репозитория. В подменённые версии добавили файл src/helpers.php и прописали его в Composer через autoload.files. Такой файл загружается сразу при подключении vendor/autoload.php, поэтому вредоносный код срабатывал без вызова отдельной функции.
Первый компонент связывался с доменом flipboxstudio[.]info, загружал второй компонент и запускал его в фоновом режиме. Дальше вредоносная программа собирала секреты из окружения, CI/CD, облачных профилей AWS, GCP и Azure, Kubernetes, Vault, SSH-ключей, .env-файлов, браузеров, менеджеров паролей, криптокошельков и токенов Slack, Discord и Telegram. После отправки данных на сервер атакующего программа пыталась удалить следы с диска.
Packagist убрал вредоносные версии и временно скрыл затронутые пакеты. Проектам, которые устанавливали Laravel-Lang после 22 мая 2026 года, нужно проверить composer.lock, следы src/helpers.php в vendor/laravel-lang, сетевые обращения к flipboxstudio[.]info и временный каталог .laravel_locale.
При подтверждённой установке заражённой версии безопаснее считать скомпрометированными все секреты, доступные PHP-процессу, и срочно заменить ключи, токены и пароли.
Популярные пакеты Laravel-Lang оказались втянуты в крупную атаку на цепочку поставок: злоумышленник не стал добавлять вредоносный код в основные репозитории, а подменил исторические теги релизов. Из-за такого приёма заражённая версия могла выглядеть как обычное обновление и запускалась автоматически при работе приложения.
По данным Aikido , Step Security и Snyk , атака началась 22 мая 2026 года и затронула пакеты laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/actions и laravel-lang/attributes, опубликованные через Packagist. Эти библиотеки используют в Laravel-проектах для переводов, сообщений валидации и описаний HTTP-статусов. Snyk оценивает масштаб заражения более чем в 700 исторических версий, хотя первые отчёты говорили примерно о 233 вредоносных релизах.
Злоумышленник воспользовался особенностью связки GitHub и Packagist: теги могли указывать на коммиты из контролируемого атакующим форка, а не на код из официального репозитория. В подменённые версии добавили файл src/helpers.php и прописали его в Composer через autoload.files. Такой файл загружается сразу при подключении vendor/autoload.php, поэтому вредоносный код срабатывал без вызова отдельной функции.
Первый компонент связывался с доменом flipboxstudio[.]info, загружал второй компонент и запускал его в фоновом режиме. Дальше вредоносная программа собирала секреты из окружения, CI/CD, облачных профилей AWS, GCP и Azure, Kubernetes, Vault, SSH-ключей, .env-файлов, браузеров, менеджеров паролей, криптокошельков и токенов Slack, Discord и Telegram. После отправки данных на сервер атакующего программа пыталась удалить следы с диска.
Packagist убрал вредоносные версии и временно скрыл затронутые пакеты. Проектам, которые устанавливали Laravel-Lang после 22 мая 2026 года, нужно проверить composer.lock, следы src/helpers.php в vendor/laravel-lang, сетевые обращения к flipboxstudio[.]info и временный каталог .laravel_locale.
При подтверждённой установке заражённой версии безопаснее считать скомпрометированными все секреты, доступные PHP-процессу, и срочно заменить ключи, токены и пароли.