Um ataque à cadeia de suprimentos visando os pacotes de localização Laravel Lang expôs desenvolvedores a uma sofisticada campanha de malware que rouba credenciais. Os atacantes abusaram de tags de versão do GitHub para distribuir código malicioso através de pacotes do Composer. As empresas de segurança StepSecurity, Aikido Security e Socket alertaram sobre a violação, que afetou quatro repositórios da organização Laravel Lang. Os pacotes comprometidos incluem laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes e possivelmente laravel-lang/actions. Os atacantes reescreveram 233 versões em três repositórios, com Socket indicando que cerca de 700 versões históricas podem ter sido afetadas. O ataque se destacou por não modificar o código-fonte original, mas sim por redirecionar tags existentes para um commit malicioso. Quando os desenvolvedores instalavam os pacotes, o código malicioso era baixado disfarçado de versões legítimas. O malware introduziu um arquivo chamado ‘src/helpers.php’, que atuava como um dropper, baixando um segundo payload de um servidor de controle. Este payload era um ladrão de credenciais que coletava dados sensíveis de várias plataformas, incluindo chaves de acesso à nuvem e credenciais de Git. A Aikido informou o Packagist, que rapidamente removeu as versões maliciosas e deslistou os pacotes afetados para evitar novas instalações.
Fonte: https://www.bleepingcomputer.com/news/security/laravel-lang-packages-hijacked-to-deploy-credential-stealing-malware/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
23/05/2026 • Risco: CRITICO
MALWARE
Ataque à cadeia de suprimentos compromete pacotes de localização do Laravel
RESUMO EXECUTIVO
O ataque à cadeia de suprimentos que comprometeu pacotes Laravel Lang representa um risco significativo para desenvolvedores e empresas que utilizam essas ferramentas. A reescrita de tags do GitHub permitiu que os atacantes distribuíssem malware disfarçado de versões legítimas, resultando no roubo de credenciais e dados sensíveis. A rápida resposta do Packagist em remover as versões maliciosas é um passo positivo, mas a necessidade de revisão de credenciais e sistemas permanece crítica.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido ao roubo de credenciais e dados sensíveis.
Operacional
Roubo de credenciais de acesso a serviços e plataformas.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']
📊 INDICADORES CHAVE
233 versões comprometidas
Indicador
700 versões históricas possivelmente afetadas
Contexto BR
4 repositórios envolvidos
Urgência
⚡ AÇÕES IMEDIATAS
1
Revisar as versões dos pacotes instalados e verificar se há comprometimentos.
2
Rotacionar credenciais expostas e monitorar sistemas para indicadores de comprometimento.
3
Monitorar conexões de saída para o domínio flipboxstudio[.]info e outros comportamentos suspeitos.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de suas aplicações e a proteção de dados sensíveis, especialmente em um cenário onde pacotes de código aberto são amplamente utilizados.
⚖️ COMPLIANCE
Implicações legais relacionadas à LGPD e à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
