C
月内に
PHPフレームワークLaravelのサードパーティ製言語パッケージ「Laravel Lang」のGitHubリポジトリが侵害され、悪意のあるコードが注入されまし…
📌 一言でいうと
PHPフレームワークLaravelのサードパーティ製言語パッケージ「Laravel Lang」のGitHubリポジトリが侵害され、悪意のあるコードが注入されました。攻撃者はGitタグを書き換えて悪意のあるフォークへ誘導し、環境変数やAPIキーなどの機密情報を窃取するコードを実行させていました。Packagistは既に悪意のあるバージョンを削除し、影響を受けたパッケージを一時的に取り下げています。
🔍該当判定
- PHPのフレームワーク「Laravel」を使用してシステムを開発・運用している
- Composerを利用して「laravel-lang/lang」というパッケージを導入している
- Composerを利用して「laravel-lang/attributes」「laravel-lang/http-statuses」「laravel-lang/actions」のいずれかを導入している
- 自社開発のLaravelアプリで、多言語対応(翻訳機能)のために外部の言語パックを利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. composer.lockファイルを確認し、影響を受けたパッケージのバージョンが使用されていないか確認すること。2. 信頼できるコミットSHA値を使用してバージョンを固定すること。3. APIキーや環境変数が漏洩した可能性があるため、認証情報のローテーションを検討すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Laravel Lang パッケージのサプライチェーン攻撃への対応について
お疲れさまです。Laravel Langに関する情報共有です。
■ 概要
PHPフレームワークLaravelのサードパーティ製言語パッケージ「Laravel Lang」において、GitHubリポジトリの侵害によるサプライチェーン攻撃が確認されました。攻撃者はGitタグを改ざんし、環境変数やAPIキー、クラウド認証情報などを窃取する悪意のあるコードを注入していました。
■ 影響範囲
- laravel-lang/lang
- laravel-lang/attributes
- laravel-lang/http-statuses
- laravel-lang/actions
※多くのGitタグが改ざんされており、バージョン指定による安全な更新が困難な状態でした。
■ 対応手順
1. プロジェクト内で上記パッケージを使用しているか確認してください。
2. 悪意のあるバージョンが導入されていないか、composer.lockのSHA値を確認してください。
3. 疑わしい場合は、安全が確認されたコミットSHA値に固定して再インストールしてください。
4. 漏洩の可能性があるAPIキーやシークレットの変更(ローテーション)を実施してください。
■ 参考情報
- Aikido, Socket, Step Security のレポート
対応優先度: 高
対応期限: 至急
お疲れさまです。Laravel Langに関する情報共有です。
■ 概要
PHPフレームワークLaravelのサードパーティ製言語パッケージ「Laravel Lang」において、GitHubリポジトリの侵害によるサプライチェーン攻撃が確認されました。攻撃者はGitタグを改ざんし、環境変数やAPIキー、クラウド認証情報などを窃取する悪意のあるコードを注入していました。
■ 影響範囲
- laravel-lang/lang
- laravel-lang/attributes
- laravel-lang/http-statuses
- laravel-lang/actions
※多くのGitタグが改ざんされており、バージョン指定による安全な更新が困難な状態でした。
■ 対応手順
1. プロジェクト内で上記パッケージを使用しているか確認してください。
2. 悪意のあるバージョンが導入されていないか、composer.lockのSHA値を確認してください。
3. 疑わしい場合は、安全が確認されたコミットSHA値に固定して再インストールしてください。
4. 漏洩の可能性があるAPIキーやシークレットの変更(ローテーション)を実施してください。
■ 参考情報
- Aikido, Socket, Step Security のレポート
対応優先度: 高
対応期限: 至急
Subject: [Security Alert] Supply Chain Attack on Laravel Lang Packages
Dear IT/Security Team,
We are sharing information regarding a supply chain attack affecting the 'Laravel Lang' third-party language packages for the PHP framework Laravel.
■ Overview
Attackers compromised the GitHub repositories of Laravel Lang and manipulated Git tags to point to malicious forks. The injected code was designed to exfiltrate sensitive data, including environment variables, API keys, and cloud credentials, using extensive regex dictionaries.
■ Affected Scope
- laravel-lang/lang
- laravel-lang/attributes
- laravel-lang/http-statuses
- laravel-lang/actions
Note: A vast majority of Git tags were overwritten, making it difficult to identify safe versions by tag alone.
■ Mitigation Steps
1. Audit your projects for the use of the aforementioned packages.
2. Verify the commit SHA values in your composer.lock files to ensure no malicious versions are present.
3. Pin dependencies to known-safe commit SHAs if necessary.
4. Rotate any API keys or secrets that may have been exposed in environments where these packages were deployed.
■ Reference
- Reports from Aikido, Socket, and Step Security
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a supply chain attack affecting the 'Laravel Lang' third-party language packages for the PHP framework Laravel.
■ Overview
Attackers compromised the GitHub repositories of Laravel Lang and manipulated Git tags to point to malicious forks. The injected code was designed to exfiltrate sensitive data, including environment variables, API keys, and cloud credentials, using extensive regex dictionaries.
■ Affected Scope
- laravel-lang/lang
- laravel-lang/attributes
- laravel-lang/http-statuses
- laravel-lang/actions
Note: A vast majority of Git tags were overwritten, making it difficult to identify safe versions by tag alone.
■ Mitigation Steps
1. Audit your projects for the use of the aforementioned packages.
2. Verify the commit SHA values in your composer.lock files to ensure no malicious versions are present.
3. Pin dependencies to known-safe commit SHAs if necessary.
4. Rotate any API keys or secrets that may have been exposed in environments where these packages were deployed.
■ Reference
- Reports from Aikido, Socket, and Step Security
Priority: High
Deadline: Immediate