开源项目Laravel Lang(社区本地化项目)被攻击 黑客发布700多个恶意版本

开源项目 Laravel 的社区本地化项目 Laravel Lang (这属于社区构建的项目与 Laravel 框架无关) 日前遭到黑客攻击，黑客劫持开发者账号后发布 700 多个恶意版本用于下游构建，最终目的是窃取被感染设备中的所有机密凭证。

Laravel Lang 项目的多个本地化软件包被下游项目使用，这些项目在构建时会自动加载含有恶意代码的软件包，而加载器在运行时会自动执行后门程序，随后恶意代码开始搜寻开发环境中的各类凭证并将其加密传输到黑客控制的服务器。

此次攻击虽然不是针对 NPM 生态系统的，但依然属于供应链攻击，使用 Laravel Lang 相关软件包的开发者请立即检查构建记录，最好立即将所有机密凭证全部轮换，也要检查各类凭证的登录日志看看是否存在异常行为。



攻击发生在 5 月 22 日～23 日：

网络安全公司 Socket 情报系统收集的数据显示，此次攻击发生在 UTC 时间 2026 年 5 月 22 日～23 日期间，黑客通过某种方式劫持开发者账号后按秒发布恶意版本，Laravel Lang 项目下的多个软件包都被密集发布多个恶意版本。

最初网络安全公司 Aikido Security 发现该问题并立即提交反馈，随后开发者删除恶意软件包，截至本文发布时这些恶意软件包已经被删除，不过基于安全考虑建议下游开发者暂停拉取 Laravel Lang 下的软件包，待后续事件调查完成后再考虑重新拉取。

分析还显示 Laravel Lang GitHub 账号下多个仓库都被发布恶意软件，因此安全公司推测黑客可能已经拿到组织级的 API 凭证，拥有所有仓库自动化权限和发布基础设施。

受影响的软件包和 IOC：

受影响的项目软件包包括：Laravel-Lang/lang、Laravel-Lang/http-statuses、Laravel-Lang/attributes、Laravel-Lang/actions，开发者需要着重检查自己的项目里使用拉取以上软件包，如果完全没有使用这些软件包则可能不受影响。

黑客使用的域名为：https://flipboxstudio [.] info/payload 企业也可以通过防火墙检查是否存在该域名的访问记录，如果存在访问记录说明也遭到攻击，可能需要立即对潜在受影响的设备进行排查。