Laravel Lang: Malware in populäre PHP-Pakete eingeschleust

Summary

Laravel Lang: Malware in populäre PHP-Pakete eingeschleust Wer seine PHP-Anwendung mit Laravel Lang lokalisiert hat, könnte sich Malware eingefangen haben, die es vor allem auf Zugangsdaten abgesehen hat. 26. Mai 2026 um 13:15 Uhr / Marc Stöckel Ein Angreifer hat Schadcode in mehrere Laravel-Lang-Versionen eingeschleust. Bild: pixabay.com / Elchinator Hunderte Paketversionen von Laravel Lang, einer populären Lokalisierungslösung für das weitverbreitete PHP-Framework Laravel, sind im Rahmen eines Supply-Chain-Angriffs mit Schadcode verseucht worden. Das geht aus einem Bericht der Sicherheitsforscher von Aikido(öffnet im neuen Fenster) hervor. Ziel der Angreifer ist es demnach, massenhaft Zugangsdaten und andere vertrauliche Informationen abzugreifen. Auch Sicherheitsforscher von Socket sind auf den Angriff aufmerksam geworden. Diese haben 700 Paketversionen der Laravel-Lang-Repositorys lang(öffnet im neuen Fenster), http-statuses(öffnet im neuen Fenster), attributes(öffnet im neuen Fenster) und actions(öffnet im neuen Fenster) entdeckt, die alle kompromittiert sein sollen. Eine vollständige und durchsuchbare Liste ist im Blogbeitrag der Socket-Forscher(öffnet im neuen Fenster) zu finden.Laravel Lang ist zwar nicht Teil des offiziellen Laravel-Projektes, dennoch werden die Übersetzungspakete in zahlreichen Laravel-basierten PHP-Anwendungen genutzt. Allein das lang-Repository erreicht auf Github etwa 7.800 Sterne und 3.000 Forks. Nach Angaben der Entwickler unterstützt Laravel Lang 128 verschiedene Sprachen.Schadcode wird automatisch ausgeführtDer eingangs geannnte Supply-Chain-Angriff soll am 22. und 23. Mai stattgefunden haben. Den Angaben zufolge handelt es sich bei der eingeschleusten Malware um einen Infostealer. Dieser wird auf den jeweiligen Zielsystemen automatisch über die Autoloader-Funktion des PHP-Paketmanagers Composer zur Ausführung gebracht. Der Schadcode bestehe aus rund 5.900 PHP-Codezeilen und sei modular aufgebaut, heißt es bei Aikido. Eingeschleust ...