Un ataque a la cadena de suministro apunta a los paquetes de Laravel-Lang con un programa de robo de credenciales

El 22 de mayo de 2026, detectamos un ataque activo a la cadena de suministro dirigido contra Laravel-Lang. Presentamos un informe a los responsables del mantenimiento de inmediato. El atacante publicó etiquetas de versión maliciosas en tres repositorios de uso generalizado, inyectando código destinado a robar credenciales que se carga automáticamente a través de la función de autocarga de Composer.

Lo que hace que esto sea especialmente engañoso es que el código malicioso nunca se incorporó a los repositorios oficiales. GitHub permite que las etiquetas de versión apunten a confirmaciones de una bifurcación del mismo repositorio. El atacante aprovechó esto para crear etiquetas que apuntaban a confirmaciones en una bifurcación maliciosa que él controlaba.

Actualmente hay 233 versiones vulnerables en:

• laravel-lang/lang (7,8 mil estrellas)
• laravel-lang/atributos
• laravel-lang/estados-http

También denunciamos el ataque a Packagist, que respondió de inmediato retirando las versiones maliciosas y eliminando temporalmente de la lista los paquetes afectados para evitar nuevas instalaciones.

Fase 1: El gotero

El atacante introdujo un archivo llamado src/helpers.php en las etiquetas de la versión afectada. A simple vista, parece un ayudante de localización rutinario de Laravel, que define dos funciones inofensivas: laravel_lang_locale() y laravel_lang_fallback(). Por debajo de esas funciones es donde empieza el verdadero trabajo.

Un bloque de código de ejecución automática se ejecuta una sola vez en cada máquina que infecta. Obtiene la huella digital del host utilizando un hash de la ruta del archivo, el nombre del host y el inodo, y luego escribe un archivo marcador en el directorio temporal del sistema para que solo se active una vez. El dominio C2 está oculto dentro de una matriz de enteros que se descodifica en tiempo de ejecución para eludir los escáneres estáticos. Se resuelve en flipboxstudio[.]info.

A continuación, el dropper descarga una carga útil desde flipboxstudio[.]info/payload utilizando `file_get_contents` con una alternativa de `curl`, ambas con la verificación SSL desactivada. En Windows, crea un ejecutable .vbs y ejecuta la carga útil de forma silenciosa mediante `cscript`. En Linux y macOS, ejecuta la carga útil en segundo plano mediante exec().

Fase 2: El ladrón

La carga útil obtenida es un programa de robo de credenciales en PHP de unas 5.900 líneas, organizado en quince módulos de recopilación especializados. Tras recopilar toda la información que encuentra, cifra los resultados con AES-256 y los envía a flipboxstudio[.]info/exfil. A continuación, se borra a sí mismo del disco para limitar las pruebas forenses.

Qué roba

Credenciales de la nube

• Claves de acceso, claves secretas y tokens de sesión de AWS (del entorno, ~/.aws/credentials y los metadatos de las instancias EC2 activas)
• Credenciales predeterminadas de la aplicación GCP, bases de datos de tokens de acceso y todas las configuraciones de la CLI con nombre
• Tokens de acceso de Azure, caché MSAL y perfiles de entidad de servicio
• Tokens de autenticación de DigitalOcean, Heroku, Vercel, Netlify, Railway y Fly.io

Secretos de la infraestructura

• Todos los archivos kubeconfig, incluidos /etc/kubernetes/admin.conf
• tokens de HashiCorp Vault
• Configuraciones del repositorio Helm
• Docker config.json

Credenciales de desarrollador

• Claves privadas SSH
• Todo .git-credentials y .gitconfig archivos
• .netrc, .npmrc, .yarnrc, .pypirc, .gem/credentials, .composer/auth.json
• Tokens de autenticación de GitHub CLI, GitLab CLI y Hub CLI
• Archivos de historial del shell (bash, zsh, psql, mysql, python, node)
• Todo .env archivos y archivos de configuración encontrados mediante un escaneo recursivo del directorio de trabajo (wp-config.php, settings.py, docker-compose.yml, secrets.yaml y otros)

Navegadores y gestores de contraseñas

• Contraseñas guardadas de 17 navegadores basados en Chromium: Chrome, Edge, Brave, Opera, Opera GX, Vivaldi, Chromium, Yandex y otros. En Windows, una herramienta auxiliar integrada .exe se ejecuta para descifrar la base de datos de inicio de sesión de Chrome protegida por DPAPI
• Firefox y Thunderbird logins.json y key4.db en todos los perfiles
• KeePass .kdbx y .kdb archivos de base de datos
• Archivos de almacén local de 1Password Bitwarden

Carteras de criptomonedas

• Archivos de carteras de Bitcoin, Ethereum, Monero, Litecoin, Dash, Dogecoin y Zcash
• Carteras Electrum, Exodus, Atomic, Ledger Live, Trezor, Wasabi y Sparrow
• Carteras de extensión para navegador por ID de extensión: MetaMask, Phantom, Trust Wallet, Ronin, Keplr, Solflare y Rabby

Específico para Windows

• Entradas del Administrador de credenciales y del Almacén de Windows
• Sesiones guardadas de PuTTY y WinSCP (las contraseñas de WinSCP se descifran en tiempo real)
• .rdp archivos del escritorio, de «Documentos» y de «Descargas»
• Perfiles del Registro de Outlook, inventario de archivos OST/PST y entradas del Administrador de credenciales para los servicios de Microsoft

Plataformas de comunicación

• Tokens de Slack
• Fichas para bots de Discord 
• Tokens de bots de Telegram

Configuraciones de VPN

• Archivos de configuración y credenciales extraídas para NordVPN, ExpressVPN, ProtonVPN, CyberGhost, Private Internet Access, Windscribe, Mullvad, Surfshark, WireGuard y OpenVPN

Cómo Aikido detecta esto

Si es usuario de Aikido, revise su feed central y filtre por problemas de malware. Esto aparecerá como un problema crítico de 100/100. Aikido realiza reescaneos cada noche, pero recomendamos activar un reescaneo manual ahora.

Si aún no es usuario de Aikido, puede crear una cuenta y conectar sus repositorios. Nuestra cobertura de malware está incluida en el plan gratuito, sin necesidad de tarjeta de crédito.

Para una cobertura más amplia en todo su equipo, el Endpoint Protection de Aikido le proporciona visibilidad y control sobre los paquetes de software instalados en los dispositivos de su equipo. Cubre extensiones de navegador, librerías de código, plugins de IDE y dependencias de compilación, todo en un solo lugar. Detenga el malware antes de que se instale.

Para una protección futura, considere Aikido Safe Chain (código abierto). Safe Chain se integra en su flujo de trabajo existente, interceptando comandos npm, npx, yarn, pnpm y pnpx y verificando los paquetes con Aikido Intel antes de la instalación.

Indicadores de compromiso

Red

• flipboxstudio.info (dominio C2)
• flipboxstudio.info/payload (recogida con gotero)
• flipboxstudio.info/exfil (punto final de exfiltración)

Archivos y rutas

• <tmp>/.laravel_locale/<md5_hash> (marcador de infección)
• <tmp>/.laravel_locale/<12 random hex chars>.php (ladrón que se ha dado a la fuga)
• <tmp>/.laravel_locale/<8 random hex chars>.vbs (Lanzador de Windows)