Attaque supply chain : les packages Laravel Lang compromis pour voler des identifiants

🔍 Contexte

Source : BleepingComputer, publié le 23 mai 2026. Des firmes de sécurité StepSecurity, Aikido Security et Socket ont alerté simultanément d’une attaque de type supply chain ciblant les packages de localisation Laravel Lang, distribués via le gestionnaire de dépendances PHP Composer.

⚙️ Mécanisme d’attaque

Les attaquants n’ont pas modifié le code source des projets, mais ont réécrit les tags Git existants dans quatre dépôts pour les faire pointer vers des commits malveillants hébergés dans un fork contrôlé par l’attaquant. Cette technique exploite une fonctionnalité GitHub permettant aux tags de référencer des commits dans des forks.

Les dépôts compromis :

• laravel-lang/lang (502 tags)
• laravel-lang/http-statuses
• laravel-lang/attributes
• laravel-lang/actions (possiblement)

Selon Aikido, 233 versions ont été compromises sur trois dépôts ; Socket estime jusqu’à 700 versions historiques impactées. Les réécritures ont débuté à 22:32 UTC et se sont terminées à 00:00 UTC, toutes attribuées à une même identité d’auteur fictive avec un accès push à l’ensemble de l’organisation.

🦠 Payload malveillant

Un fichier src/helpers.php a été injecté et chargé automatiquement par Composer via la section autoload de composer.json. Ce dropper télécharge un second payload PHP depuis le C2 flipboxstudio[.]info.

Le payload PHP est un voleur d’identifiants multiplateforme (Linux, macOS, Windows) ciblant :

• Credentials cloud, secrets Kubernetes, tokens Vault
• Tokens Git, secrets CI/CD, clés SSH
• Données de navigateurs, portefeuilles crypto, gestionnaires de mots de passe
• Configurations VPN, fichiers .env
• Clés AWS, tokens GitHub/Slack, secrets Stripe, credentials BDD, JWTs, phrases de récupération crypto

Sur Windows, le payload extrait un exécutable encodé en base64 nommé DebugElevator, écrit dans %TEMP% avec un nom aléatoire .exe. Cet outil cible Chrome, Brave et Edge pour extraire les clés App-Bound Encryption permettant de déchiffrer les credentials stockés.

Un chemin PDB embarqué (C:\Users\Mero\OneDrive\Desktop\stuff\claude\Chromium-DebugElevator\x64\Release\DebugChromium.pdb) référence le compte Windows Mero et le mot claude, suggérant un possible usage d’IA dans le développement.

Les données exfiltrées sont chiffrées avant envoi au serveur C2.

📢 Réponse

Aikido a signalé l’incident à Packagist, qui a rapidement supprimé les versions malveillantes et temporairement délisté les packages affectés.

📄 Type d’article

Article de presse spécialisée combinant annonce d’incident et analyse technique, visant à informer les développeurs PHP/Laravel de la compromission et des indicateurs associés.

🧠 TTPs et IOCs détectés

TTP

• T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
• T1554 — Compromise Client Software Binary (Persistence)
• T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
• T1105 — Ingress Tool Transfer (Command and Control)
• T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
• T1552.004 — Unsecured Credentials: Private Keys (Credential Access)
• T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)
• T1027 — Obfuscated Files or Information (Defense Evasion)

IOC

• Domaines : flipboxstudio.info — VT · URLhaus · ThreatFox
• Fichiers : helpers.php
• Fichiers : DebugElevator.exe
• Chemins : src/helpers.php
• Chemins : C:\Users\Mero\OneDrive\Desktop\stuff\claude\Chromium-DebugElevator\x64\Release\DebugChromium.pdb

Malware / Outils

• DebugElevator (stealer)
• Laravel Lang PHP credential stealer (stealer)

🟢 Indice de vérification factuelle : 68/100 (haute)

• ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
• ✅ 4864 chars — texte complet (15pts)
• ✅ 5 IOCs (IPs/domaines/CVEs) (10pts)
• ✅ 1/1 IOC(s) confirmé(s) (ThreatFox, URLhaus, VirusTotal) (8pts)
• ✅ 9 TTPs MITRE identifiées (15pts)
• ⬜ date RSS ou approximée (0pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• flipboxstudio.info (domain) → VT (18/91 détections)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/laravel-lang-packages-hijacked-to-deploy-credential-stealing-malware/