L'écosystème Laravel impacté par deux attaques supply chain

Le 22 mai 2026, Socket a détecté deux campagnes de supply chain attack distinctes touchant entre autres l’écosystème Laravel. La première a compromis huit paquets Composer sur Packagist via un script postinstall malveillant injecté dans package.json (et non dans composer.json) : au déclenchement de npm install, le script télécharge un binaire depuis GitHub Releases, l’enregistre sous /tmp/.sshd et l’exécute en arrière-plan. Les projets devdojo/wave et devdojo/genesis, deux starter kits Laravel très utilisés, figurent parmi les dépôts compromis.

La seconde est plus sévère. Les paquets laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes et laravel-lang/actions ont été compromis via un fichier src/helpers.php injecté dans autoload.files de composer.json, ce qui le fait exécuter automatiquement à chaque chargement de l’autoloader Composer. Le payload est un stealer complet ciblant les identifiants cloud (AWS, Azure, GCP), tokens Kubernetes, secrets CI/CD, clés SSH, données de navigateurs, gestionnaires de mots de passe et fichiers .env. Le domaine C2 utilisé est flipboxstudio[.]info. Plus de 700 versions historiques sont confirmées affectées sur les quatre paquets (laravel-lang/lang de 1.x à 15.x inclus).

Si vous utilisez l’un des paquets cités, vérifiez votre composer.lock, auditez vos package.json imbriqués et considérez tout système ayant installé ces versions comme potentiellement compromis. Les deux rapports Socket détaillent les indicateurs de compromission et les étapes de remédiation.

Source Socket (postinstall hook) · Source Socket (Laravel Lang)