認証情報窃取型マルウェアを用いたサプライチェーン攻撃が、Laravel-Langパッケージを標的としている

ブログ

脆弱性と脅威

執筆者

Ilyas Makari

公開日：

2026年5月23日

2026年5月22日、Laravel-Langに対するサプライチェーン攻撃が確認されました。私たちは直ちにメンテナンス担当者に報告を行いました。攻撃者は、広く利用されている3つのリポジトリに悪意のあるバージョンタグを公開し、Composerのオートローダー機能を通じて自動的に読み込まれる、認証情報を盗み出すコードを仕込んでいました。

この手口が特に巧妙なのは、悪意のあるコードが公式リポジトリには一切コミットされていなかった点にある。GitHubでは、バージョンタグを同じリポジトリのフォークにあるコミットに紐付けることが可能だ。攻撃者はこの仕組みを悪用し、自身が管理する悪意のあるフォーク内のコミットを指すタグを作成した。

現在、以下の場所で233のバージョンが侵害されています：

laravel-lang/lang (7.8k スター)
laravel-lang/属性
laravel-lang/HTTPステータス

また、この攻撃についてPackagistにも報告したところ、同社は直ちに対応し、悪意のあるバージョンを削除するとともに、さらなるインストールを防ぐため、影響を受けたパッケージを一時的にリストから削除しました。

第1段階：ドロッパー

攻撃者は、という名前のファイルを src/helpers.php 影響を受けるバージョンのタグに組み込まれています。一見すると、laravel_lang_locale() と laravel_lang_fallback() という2つの無害な関数を定義した、ありふれたLaravelのローカライズヘルパーのように見えます。しかし、これらの関数の下で、本当の作業が始まります。

自己実行型コードブロックは、感染したすべてのマシンで一度だけ実行されます。このコードは、ファイルパス、ホスト名、およびiノードのハッシュ値を使用してホストのフィンガープリントを取得し、システムの一時ディレクトリにマーカーファイルを書き込むことで、実行が一度だけになるようにします。C2ドメインは、静的スキャナーを回避するために、実行時にデコードされる整数配列の中に隠されています。これは flipboxstudio[.]info.

その後、ドロッパーは flipboxstudio[.]info/payload file_get_contents を使用し、curl をフォールバックとして設定し、いずれも SSL 検証を無効にしています。Windows では .vbs ランチャーを配置し、cscript を通じてペイロードをバックグラウンドで実行します。Linux および macOS では、バックグラウンドでペイロードを実行します。 exec().

ステージ2：盗人

取得されたペイロードは、約5,900行からなるPHP製の認証情報窃取ツールであり、15の専門的な収集モジュールで構成されています。収集可能なすべての情報を集めた後、その結果をAES-256で暗号化し、 flipboxstudio[.]info/exfil. その後、フォレンジック証拠を残さないよう、ディスクから自身を削除する。

何が奪われるのか

クラウドの認証情報

AWSのアクセスキー、シークレットキー、およびセッショントークン（環境変数から、 ~/.aws/credentials および稼働中のEC2インスタンスのメタデータ）
GCP アプリケーションのデフォルト認証情報、アクセストークンデータベース、およびすべての名前付き CLI 設定
Azure アクセストークン、MSAL キャッシュ、およびサービスプリンシパルプロファイル
DigitalOcean、Heroku、Vercel、Netlify、Railway、Fly.io の認証トークン

インフラストラクチャのシークレット

以下のkubeconfigファイルを含む /etc/kubernetes/admin.conf
HashiCorp Vault トークン
Helmリポジトリの設定
Docker config.json

開発者の資格情報

SSH秘密鍵
すべて .git-credentials そして .gitconfig ファイル
.netrc, .npmrc, .yarnrc, .pypirc, .gem/credentials, .composer/auth.json
GitHub CLI、GitLab CLI、および Hub CLI の認証トークン
シェルの履歴ファイル（bash、zsh、psql、mysql、python、node）
すべて .env 作業ディレクトリを再帰的にスキャンして検出されたファイルおよび設定ファイル（wp-config.php、settings.py、docker-compose.yml、シークレット.yaml など）

ブラウザとパスワード管理ツール

Chrome、Edge、Brave、Opera、Opera GX、Vivaldi、Chromium、Yandexなど、17種類のChromiumベースのブラウザから保存されたパスワード。Windowsでは、付属のヘルパーが利用可能です。 .exe ChromeのDPAPIで保護されたログインデータベースを復号化するために削除される
Firefox と Thunderbird logins.json そして key4.db すべてのプロファイルにおいて
KeePass .kdbx そして .kdb データベースファイル
1Password と Bitwarden のローカル保管庫ファイル

仮想通貨ウォレット

ビットコイン、イーサリアム、モネロ、ライトコイン、ダッシュ、ドージコイン、およびZcashのウォレットファイル
Electrum、Exodus、Atomic、Ledger Live、Trezor、Wasabi、Sparrowの各ウォレット
拡張機能ID別のブラウザ拡張機能ウォレット：MetaMask、Phantom、Trust Wallet、Ronin、Keplr、Solflare、Rabby

Windows専用

Windows 資格情報マネージャーとVaultのエントリ
PuTTY および WinSCP の保存済みセッション（WinSCP のパスワードはアクティブに復号化されています）
.rdp デスクトップ、ドキュメント、ダウンロードフォルダ内のファイル
Outlookのレジストリプロファイル、OST/PSTファイルの一覧、およびMicrosoftサービスに関する資格情報マネージャーのエントリ

コミュニケーションプラットフォーム

Slackトークン
Discordボットトークン
Telegramボット用トークン

VPNの設定

NordVPN、ExpressVPN、ProtonVPN、CyberGhost、Private Internet Access、Windscribe、Mullvad、Surfshark、WireGuard、およびOpenVPNの設定ファイルと抽出された認証情報

方法 Aikido これを検知する

もしあなたが Aikido ユーザーの方は、中央フィードを確認し、マルウェア関連の問題でフィルタリングしてください。これにより、100/100の重大な問題として表示されます。 Aikido は毎晩自動的に再スキャンを行いますが、今すぐ手動で再スキャンを実行することをお勧めします。

まだ会員でない場合は Aikido をご利用でない場合は、アカウントを作成してリポジトリを連携できます。マルウェア対策機能は無料プランに含まれており、クレジットカードは不要です。

チーム全体をより広くカバーするには、 Aikidoの「エンドポイント保護」は、チームのデバイスにインストールされたソフトウェアパッケージを可視化し、管理することを可能にします。ブラウザ拡張機能、コードライブラリ、IDEプラグイン、依存関係、すべてを一元管理できます。マルウェアがインストールされる前に阻止しましょう。

将来的なセキュリティ対策として、オープンソースの「Aikido Chain」の導入をご検討ください。Safe Chainは既存のワークフローに組み込まれ、npm、npx、yarn、pnpm、pnpxの各コマンドをインターセプトし、インストール前にAikido データベースと照合してパッケージを検証します。