🔥 この記事の詳細
2026-05-25 更新
B
今週中

Laravel-Lang組織が管理する4つのComposerパッケージ(laravel-lang/lang, http-statuses, attributes…

脆弱性🌐 英語ソース📰 2記事🌐 2 countries
🇮🇹 Italy · 🇺🇸 US
📅 2026-05-25📰 securityweek
📌 一言でいうと
Laravel-Lang組織が管理する4つのComposerパッケージ(laravel-lang/lang, http-statuses, attributes, actions)が、サプライチェーン攻撃により汚染されました。攻撃者はGitタグを書き換えることで、公式リポジトリにコードをコミットせずに悪意のあるバージョンを配布させる巧妙な手法を用いています。影響範囲は700以上の過去バージョンに及び、これらのパッケージを更新または新規インストールしたアプリケーションが標的となります。
🔍該当判定
  • PHPのフレームワーク「Laravel」を使用してWebサイトやシステムを構築・運用している
  • Composer(パッケージ管理ツール)を利用して、ライブラリを導入している
  • 導入済みライブラリの中に「laravel-lang/lang」が含まれている
  • 導入済みライブラリの中に「laravel-lang/http-statuses」「laravel-lang/attributes」「laravel-lang/actions」のいずれかが含まれている
上記いずれにも該当しない → 静観でOK
該当時の対応
影響を受けるパッケージのバージョンを確認し、汚染されていない安全なバージョンへのダウングレードまたはアップデートを検討してください。また、Composerのロックファイルを検証し、不審な依存関係の変更がないか確認することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Laravel-Lang パッケージのサプライチェーン攻撃への対応について

お疲れさまです。Laravel-Lang組織が管理するComposerパッケージにおけるマルウェア混入に関する情報共有です。

■ 概要
Laravel-Langが提供する4つのライブラリにおいて、Gitタグの書き換えによるサプライチェーン攻撃が確認されました。攻撃者は公式リポジトリにコードを直接コミットせず、タグを悪意のあるコミットに向けることでマルウェアを配布させています。

■ 影響範囲
- laravel-lang/lang
- laravel-lang/http-statuses
- laravel-lang/attributes
- laravel-lang/actions
※700以上の過去バージョンに影響が及んでいる可能性があります。

■ 対応手順
1. プロジェクトで使用している上記パッケージのバージョンを確認してください。
2. 信頼できるクリーンなバージョンへの更新、または依存関係の再検証を行ってください。
3. composer.lock ファイルに不審な変更がないか確認してください。

■ 参考情報
- SecurityWeek 記事および Socket 社のレポート

対応優先度: 高
対応期限: 速やかに確認
Subject: [Security Alert] Supply Chain Attack on Laravel-Lang Packages

Dear IT/Security Team,

We are sharing information regarding a supply chain attack affecting Composer packages maintained by the Laravel-Lang organization.

■ Overview
Four localization libraries were poisoned by attackers who rewrote Git tags to point to malicious commits. This method allowed the delivery of malware without committing the malicious code directly to the official GitHub repositories.

■ Affected Packages
- laravel-lang/lang
- laravel-lang/http-statuses
- laravel-lang/attributes
- laravel-lang/actions
(Over 700 historical versions may be impacted.)

■ Recommended Actions
1. Audit your project dependencies to identify if any of the affected packages are in use.
2. Ensure you are using a verified, clean version of these libraries.
3. Review composer.lock files for any unexpected changes in version tags or commit hashes.

■ Reference
- SecurityWeek / Socket Security Report

Priority: High
Deadline: Immediate review
📰 関連する 1 件の記事
secaffairsLaravel-LangのComposerパッケージ4つにおいて、Gitタグの書き換えによるサプライチェーン攻撃
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-25 のまとめ🔍 記事を検索