Entre el 22 y el 23 de mayo de 2026, un grupo identificado como TeamPCP comprometió más de 700 versiones históricas de cuatro paquetes del proyecto Laravel-Lang. El vector fue la manipulación de etiquetas Git en Composer: los atacantes añadieron un archivo src/helpers.php al campo autoload.files del composer.json de cada paquete, lo que hace que Composer lo ejecute automáticamente en cada arranque de la aplicación.
Los paquetes afectados fueron laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes y laravel-lang/actions, muy usados para gestionar traducciones en aplicaciones Laravel.
Un malware con 17 recolectores
El payload ocultaba la dirección del servidor de control (flipboxstudio[.]info) construyéndola dinámicamente con array_map('chr', [...]) para eludir análisis estático. Una vez ejecutado, desplegaba 17 recolectores especializados que buscaban credenciales de AWS, GCP, Azure y otros proveedores cloud; tokens de Kubernetes, HashiCorp Vault, Docker y Helm; claves SSH, archivos .env y configuraciones de CI/CD; contraseñas de 17 navegadores basados en Chromium, Firefox, gestores como KeePass y 1Password, y billeteras de criptomonedas.
Los datos robados se enviaban cifrados con AES-256 al endpoint flipboxstudio[.]info/exfil, tras lo cual el malware se eliminaba del disco para reducir el rastro forense.
Aikido lo clasificó como crÃtico 100/100. Socket y StepSecurity publicaron análisis técnicos detallados del payload.
Cómo protegerse
El ataque no aprovechó ningún fallo en PHP ni en Laravel, sino la confianza depositada en etiquetas Git sin verificar. Las medidas más útiles: fijar dependencias con hashes y mantener composer.lock en el repositorio, aplicar mÃnimo privilegio a tokens CI/CD, revisar cualquier cambio en autoload.files antes de hacer merge, y usar herramientas de escaneo como Socket o Aikido.
Para más contexto sobre buenas prácticas de seguridad en proyectos PHP y Laravel, puedes consultar también 10 prácticas de seguridad imprescindibles para APIs y Buenas prácticas de seguridad actualizadas.
Fuente: administraciondesistemas.com
Imagen: Pexels / Markus Spiske