Paket Laravel-Lang PHP Diretas untuk Sebarkan Pencuri Kredensial Multiplatform

Baru-baru ini, para peneliti keamanan siber mengungkapkan adanya serangan rantai pasokan perangkat lunak yang menargetkan paket PHP milik Laravel-Lang. Serangan ini berhasil menyusupkan malware pencuri kredensial yang berjalan lintas platform, mengancam jutaan pengguna yang menggunakan paket tersebut.

Paket Laravel-Lang yang Terinfeksi dan Modus Operasi Serangan

Paket-paket Laravel-Lang yang terdampak meliputi laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes, dan laravel-lang/actions. Penyerang memanfaatkan akses ke proses rilis organisasi Laravel Lang untuk mempublikasikan lebih dari 700 versi berbahaya dalam waktu singkat pada tanggal 22 dan 23 Mei 2026, yang diduga hasil dari automated mass tagging atau republishing otomatis.

"Waktu dan pola tag versi yang baru dirilis menunjukkan adanya kompromi luas pada proses rilis organisasi Laravel Lang, bukan hanya satu versi paket yang berbahaya," ujar perwakilan Socket.

Serangan ini diduga terjadi karena penyerang berhasil mengakses kredensial tingkat organisasi, otomatisasi repositori, atau infrastruktur rilis.

Fungsi Malware dan Cara Kerjanya

Fungsi berbahaya utama terdapat pada file "src/helpers.php" yang disisipkan dalam versi paket. File ini berfungsi untuk melakukan fingerprinting pada host yang terinfeksi dan menghubungi server eksternal flipboxstudio[.]info untuk mengambil muatan PHP lintas platform yang dapat berjalan di Windows, Linux, dan macOS.

Menurut Aikido Security, peluncur malware menggunakan Visual Basic Script di Windows yang dijalankan lewat cscript, sedangkan di Linux dan macOS, peluncuran dilakukan melalui fungsi exec().

"Karena file 'src/helpers.php' terdaftar di composer.json pada bagian autoload.files, backdoor ini otomatis dijalankan setiap kali ada permintaan PHP pada aplikasi yang terdampak," jelas pihak Socket.

Malware ini membuat penanda unik per host menggunakan hash MD5 yang menggabungkan jalur direktori, arsitektur sistem, dan inode untuk memastikan eksekusi hanya sekali per mesin, sehingga mengurangi kemungkinan deteksi berulang.

Data yang Dicuri dan Target Serangan

Malware ini dirancang untuk mencuri berbagai data sensitif dari sistem korban dan mengirimkannya ke server penyerang. Data yang dicuri mencakup:

• Peran IAM dan dokumen identitas instance melalui metadata cloud
• Kredensial default aplikasi Google Cloud
• Token akses Microsoft Azure dan profil service principal
• Token akun layanan Kubernetes dan konfigurasi registry Helm
• Token autentikasi untuk DigitalOcean, Heroku, Vercel, Netlify, Railway, dan Fly.io
• Token HashiCorp Vault
• Token dan konfigurasi Jenkins, GitLab Runners, GitHub Actions, CircleCI, TravisCI, dan ArgoCD
• Frasa seed dan file dompet cryptocurrency populer seperti Electrum, Exodus, Atomic, Ledger Live, Trezor, dan lainnya
• Riwayat browser, cookies, dan data login dari Chrome, Edge, Firefox, Brave, dan Opera dengan cara melewati proteksi enkripsi aplikasi Chromium
• Data vault dan ekstensi browser dari 1Password, Bitwarden, LastPass, KeePass, Dashlane, dan NordPass
• Sesi yang disimpan PuTTY dan WinSCP
• Dump Credential Manager Windows dan file sesi RDP
• Token sesi aplikasi seperti Discord, Slack, dan Telegram
• Data dari Microsoft Outlook, Thunderbird, dan klien FTP populer seperti FileZilla dan CoreFTP
• File konfigurasi dan kredensial seperti Docker auth tokens, SSH private keys, file .env, wp-config.php, dan docker-compose.yml
• Variabel lingkungan yang dimuat dalam proses PHP
• Kredensial kontrol versi dari .gitconfig, .git-credentials, dan .netrc
• Konfigurasi VPN dan file login untuk OpenVPN, WireGuard, NetworkManager, serta VPN komersial seperti NordVPN dan ExpressVPN

Analisis Redaksi

Menurut pandangan redaksi, serangan ini merupakan peringatan serius bagi komunitas pengembang dan pengguna paket open-source, khususnya dalam ekosistem PHP dan Laravel. Kompleksitas dan luasnya jenis data yang dicuri menunjukkan tingkat ancaman yang sangat tinggi, karena tidak hanya data kredensial aplikasi yang terekspos, tetapi juga kredensial cloud, dompet kripto, dan konfigurasi infrastruktur penting lainnya.

Ini menggarisbawahi pentingnya keamanan rantai pasokan perangkat lunak, termasuk perlindungan akses ke repositori dan proses rilis. Pengguna Laravel-Lang dan paket terkait harus segera memverifikasi versi paket yang digunakan dan melakukan audit keamanan aplikasi mereka. Selain itu, organisasi perlu memperkuat autentikasi dan pengawasan terhadap otomatisasi repositori.

Ke depan, kewaspadaan terhadap serangan serupa harus ditingkatkan, terutama dengan semakin populernya model pengembangan berbasis open-source dan otomatisasi CI/CD. Pengguna dianjurkan mengikuti update keamanan dari sumber resmi dan menggunakan alat deteksi malware untuk mencegah kompromi lebih lanjut.

Untuk informasi lebih lanjut, artikel ini bersumber dari The Hacker News dan laporan keamanan Aikido Security.