Paquetes comprometidos de Laravel Lang publicados en Composer\/Packagist:<\/p>\n\n\n\n
Versiones afectadas:<\/p>\n\n\n\n
https:\/\/socket.dev\/supply-chain-attacks\/laravel-lang-compromise<\/a><\/p>\n\n\n\n Se identific\u00f3 una campa\u00f1a de ataque a la cadena de suministro dirigida al ecosistema PHP\/Laravel mediante el compromiso de paquetes de localizaci\u00f3n de Laravel Lang, una popular colecci\u00f3n de paquetes de c\u00f3digo abierto que proporciona traducciones preconfiguradas para funcionalidades nativas de Laravel, como validaci\u00f3n, paginaci\u00f3n, autenticaci\u00f3n y recuperaci\u00f3n de contrase\u00f1as, permitiendo adaptar aplicaciones a m\u00faltiples idiomas distintos del ingl\u00e9s, incluyendo espa\u00f1ol.<\/p>\n\n\n\n Debido a que Laravel utiliza el idioma ingl\u00e9s de forma predeterminada, estos paquetes son ampliamente utilizados por desarrolladores y organizaciones para localizar aplicaciones en distintos entornos y regiones. Como consecuencia, el compromiso de estos componentes representa un riesgo significativo dentro de proyectos empresariales y entornos de desarrollo basados en PHP.<\/p>\n\n\n\n El ataque no modific\u00f3 directamente el c\u00f3digo principal de los repositorios oficiales; en su lugar, los atacantes abusaron del sistema de etiquetas (tags) de GitHub, redirigiendo versiones leg\u00edtimas hacia commits maliciosos controlados externamente. Esta t\u00e9cnica permiti\u00f3 que versiones aparentemente v\u00e1lidas y confiables descargaran c\u00f3digo malicioso sin generar alertas inmediatas.<\/p>\n\n\n\n El ataque se basa en una t\u00e9cnica avanzada de compromiso de la cadena de suministro (\u201cSupply Chain Attack\u201d), en la que los atacantes manipularon paquetes leg\u00edtimos utilizados por miles de desarrolladores dentro del ecosistema Laravel y Composer. A diferencia de ataques tradicionales, los actores maliciosos no publicaron nuevas versiones sospechosas, sino que reutilizaron versiones hist\u00f3ricas aparentemente leg\u00edtimas mediante la modificaci\u00f3n de etiquetas (tags) en GitHub, apunt\u00e1ndolas hacia commits maliciosos alojados en bifurcaciones controladas por el atacante.<\/p>\n\n\n\n Cuando los desarrolladores o pipelines automatizados ejecutaban comandos como composer install o composer update, Composer descargaba autom\u00e1ticamente estas versiones comprometidas creyendo que eran oficiales y confiables. Esto permiti\u00f3 que el c\u00f3digo malicioso ingresara silenciosamente en servidores de desarrollo, entornos productivos, runners CI\/CD y estaciones de trabajo de desarrolladores.<\/p>\n\n\n\n El principal componente malicioso agregado fue el archivo src\/helpers.php, el cual fue registrado dentro de la secci\u00f3n autoload.files del archivo composer.json. Esta t\u00e9cnica es especialmente peligrosa porque los archivos definidos en autoload.files son ejecutados autom\u00e1ticamente cada vez que una aplicaci\u00f3n PHP carga vendor\/autoload.php, algo com\u00fan en pr\u00e1cticamente todas las aplicaciones Laravel y Symfony.<\/p>\n\n\n\n Una vez ejecutado, el malware constru\u00eda din\u00e1micamente la direcci\u00f3n del servidor de comando y control (C2) flipboxstudio[.]info utilizando t\u00e9cnicas de ofuscaci\u00f3n para evitar ser detectado por herramientas de seguridad o an\u00e1lisis est\u00e1tico. Posteriormente, descargaba una segunda carga \u00fatil desde internet y la almacenaba temporalmente en directorios ocultos del sistema, como \/tmp\/.laravel_locale\/ en Linux\/macOS o carpetas temporales en Windows.<\/p>\n\n\n\n El malware tambi\u00e9n implementaba mecanismos de persistencia y evasi\u00f3n. Por ejemplo, creaba identificadores \u00fanicos por sistema infectado para evitar ejecuciones repetidas, ejecutaba procesos en segundo plano desvinculados del proceso principal y eliminaba autom\u00e1ticamente archivos temporales utilizados durante la infecci\u00f3n para dificultar el an\u00e1lisis forense posterior.<\/p>\n\n\n\n En sistemas Windows, adem\u00e1s del payload PHP, se desplegaba un ejecutable adicional denominado \u201cDebugElevator\u201d, dise\u00f1ado espec\u00edficamente para descifrar credenciales protegidas mediante DPAPI en navegadores basados en Chromium como Chrome, Edge y Brave.<\/p>\n\n\n\n Indicadores de red<\/strong><\/p>\n\n\n\n Indicadores de archivos<\/strong><\/p>\n\n\n\n Linux\/macOS:<\/p>\n\n\n\n Windows:<\/p>\n\n\n\n Indicadores de procesos<\/strong><\/p>\n\n\n\n Indicadores Git<\/strong><\/p>\n\n\n\n Autor malicioso:<\/p>\n\n\n\n Archivos modificados:<\/p>\n\n\n\n Se recomiendan la siguientes acciones de forma inmediata:<\/p>\n\n\n\nDescripci\u00f3n<\/h2>\n\n\n\n
Indicadores de <\/strong>Compromiso (IoC)<\/strong><\/h2>\n\n\n\n
\n
\n
\n
\n
\n
\n
Soluci\u00f3n:<\/h2>\n\n\n\n
\n
Informaci\u00f3n adicional:<\/h2>\n\n\n\n
\n