PHP 向けローカライズライブラリ群「Laravel-Lang」の Composer パッケージ 4 つ (laravel-lang/lang、attributes、http-statuses、actions) で、既存リリースタグが攻撃者の管理するフォークコミットへ書き換えられる大規模サプライチェーン攻撃が発生しました。攻撃は 2026 年 5 月 22 日 22:32 UTC に主力パッケージ laravel-lang/lang (502 タグ) から始まり、翌 23 日にかけて 4 パッケージで計 700 以上のタグが再公開されました。GitHub がフォーク間のタグ参照を許容する仕様を悪用したもので、公式リリースに見えるバージョンがマルウェアを含む状態に置き換わっています。
主なポイント
- 改ざんされた
src/helpers.phpが Composer のautoload.filesに登録され、Laravel / Symfony アプリの起動時に毎回実行される設計 - ペイロードは
flipboxstudio.infoに接続して PHP ローダーと Linux/macOS/Windows 対応の ELF 系バイナリを/tmpに投下し、CI ランナーの環境変数を外部送信した後にアーティファクトを自己削除 - 影響は AWS / GCP / Azure クレデンシャル、GITHUB_TOKEN、デプロイキー、コンテナレジストリ資格、DB パスワードなど環境変数で渡される全シークレットに及ぶ
- StepSecurity と The Hacker News は「2026-05-22 22:32 UTC 以降に該当パッケージを
composer installした環境は侵害想定でローテーション必須」と勧告 laravel-lang/langは GitHub 7.8k スター級の人気パッケージで、Laravel 本体ではないが多数のプロジェクトに間接依存している点が深刻
出典: Laravel-Lang PHP Packages Compromised to Deliver Cross-Platform Credential Stealer (The Hacker News)