← Alertas
Otro Activa

Ataque a cadena de suministro PHP: paquetes Laravel-Lang comprometidos para robar credenciales

Cuatro paquetes del ecosistema Laravel-Lang fueron comprometidos para distribuir un framework de robo de credenciales multiplataforma. Proyectos PHP con estas dependencias deben auditarse de inmediato.

2026-05-23 · The Hacker News

Contexto

Investigadores identificaron un ataque coordinado a la cadena de suministro que comprometió paquetes del ecosistema Laravel-Lang en Packagist, el repositorio oficial de PHP. Los paquetes afectados son: laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes y laravel-lang/actions — todos de uso extendido en proyectos Laravel en México y Latinoamérica. El código malicioso inyectado despliega un framework completo de robo de credenciales multiplataforma.

Impacto potencial

Aplicaciones Laravel que instalaron o actualizaron estas dependencias durante el período de compromiso pueden tener credenciales, tokens y datos sensibles expuestos. El riesgo afecta directamente a startups, agencias digitales y empresas de e-commerce que usan Laravel como base de sus sistemas.

Recomendaciones

Leer fuente original →