Composer

Um ataque à cadeia de suprimentos visando os pacotes de localização Laravel Lang expôs desenvolvedores a uma sofisticada campanha de malware que rouba credenciais. Os atacantes abusaram de tags de versão do GitHub para distribuir código malicioso através de pacotes do Composer. As empresas de segurança StepSecurity, Aikido Security e Socket alertaram sobre a violação, que afetou quatro repositórios da organização Laravel Lang. Os pacotes comprometidos incluem laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes e possivelmente laravel-lang/actions. Os atacantes reescreveram 233 versões em três repositórios, com Socket indicando que cerca de 700 versões históricas podem ter sido afetadas. O ataque se destacou por não modificar o código-fonte original, mas sim por redirecionar tags existentes para um commit malicioso. Quando os desenvolvedores instalavam os pacotes, o código malicioso era baixado disfarçado de versões legítimas. O malware introduziu um arquivo chamado ‘src/helpers.php’, que atuava como um dropper, baixando um segundo payload de um servidor de controle. Este payload era um ladrão de credenciais que coletava dados sensíveis de várias plataformas, incluindo chaves de acesso à nuvem e credenciais de Git. A Aikido informou o Packagist, que rapidamente removeu as versões maliciosas e deslistou os pacotes afetados para evitar novas instalações.

Duas vulnerabilidades de alta severidade foram identificadas no Composer, um gerenciador de pacotes para PHP, que podem permitir a execução arbitrária de comandos. As falhas, classificadas como CVE-2026-40176 e CVE-2026-40261, afetam o driver do Perforce VCS (software de controle de versão). A primeira vulnerabilidade (CVE-2026-40176) resulta de uma validação inadequada de entrada, permitindo que um atacante controle a configuração de um repositório malicioso para injetar comandos. A segunda (CVE-2026-40261) é causada por uma falta de escape adequado, permitindo a injeção de comandos através de referências de origem manipuladas. Ambas as falhas podem ser exploradas mesmo que o Perforce VCS não esteja instalado. As versões afetadas incluem Composer >= 2.3 e < 2.9.6, além de >= 2.0 e < 2.2.27, com correções disponíveis nas versões 2.9.6 e 2.2.27, respectivamente. Recomenda-se que os usuários inspecionem os arquivos composer.json antes de executar o Composer e utilizem apenas repositórios confiáveis. Embora a Composer tenha verificado o Packagist.org e não encontrado evidências de exploração ativa, a publicação de metadados de origem do Perforce foi desativada como precaução.