PHP開発で広く利用されている「Laravel-Lang」の複数のパッケージが、ソフトウェアサプライチェーン攻撃の標的となり、広範な認証情報を窃取するマルウェアが配布されたことが明らかになりました。この攻撃は、開発者のクラウド認証情報、暗号通貨ウォレット、ブラウザのログイン情報など、多岐にわたる機密データを狙っており、その影響は非常に深刻です。
サプライチェーン攻撃の概要:Laravel-Langパッケージが標的に
セキュリティ研究者からの報告によると、PHPエコシステムで人気のLaravel-Langに属する複数のパッケージが、巧妙なサプライチェーン攻撃の被害に遭いました。具体的には、laravel-lang/lang、laravel-lang/http-statuses、laravel-lang/attributes、laravel-lang/actionsといった主要なパッケージが悪用されています。
この攻撃は、2026年5月22日から23日にかけて、短期間に700以上の新しいバージョンタグが連続して公開されるという異常なパターンで発生しました。これは、単一の悪意あるパッケージバージョンではなく、Laravel-Lang組織全体のリリースプロセスが広範に侵害された可能性を示唆しています。攻撃者は、組織レベルの認証情報、リポジトリの自動化システム、あるいはリリースインフラストラクチャへのアクセス権を獲得したと推測されています。
マルウェアの埋め込みと動作メカニズム
悪意のある機能は、パッケージのバージョンタグ内に埋め込まれた「src/helpers.php」というファイルに存在します。このファイルは、composer.json内のautoload.files設定を通じて登録されており、感染したアプリケーションがPHPリクエストを処理するたびに自動的に実行される仕組みです。
マルウェアはまず、感染したホストのシステム情報を収集(フィンガープリント)し、その後、外部サーバー(flipboxstudio[.]info)に接続して、PHPベースのクロスプラットフォームペイロードをダウンロードします。このペイロードは、Windows、Linux、macOSといった多様なオペレーティングシステムで動作するように設計されており、OSに応じて異なる実行方法が用いられます。Windows環境ではVisual Basic Script(VBScript)ランチャーを介してcscriptで実行され、LinuxおよびmacOS環境ではexec()関数を通じて直接ペイロードが実行されます。
さらに、このマルウェアは検出を回避するための工夫も凝らしています。ディレクトリパス、システムアーキテクチャ、inodeを組み合わせたMD5ハッシュを用いて、ホストごとに一意のマーカーを生成します。これにより、ペイロードは各マシンで一度だけトリガーされるように制御され、冗長な実行を防ぎ、初期感染後の検出を困難にしています。情報窃取が完了した後には、フォレンジック調査の証拠を制限するため、ディスクから自己削除する機能も備わっています。
窃取される情報の恐るべき範囲:開発者の機密データが狙われる
今回確認されたクレデンシャルスティラーは、その情報窃取能力の広範さにおいて特筆すべきものです。開発者が日常的に利用する多種多様なシステムやサービスの機密情報が標的となっており、その被害は計り知れません。以下に、マルウェアが窃取する可能性のある主な情報のカテゴリを挙げます。
クラウドサービスおよびCI/CD関連の認証情報
- IAMロールとインスタンスID: クラウドメタデータエンドポイントへのクエリを通じて、AWSなどのクラウド環境におけるIdentity and Access Management(IAM)ロールやインスタンス識別情報が窃取されます。
- Google CloudおよびMicrosoft Azureの認証情報: Google Cloudのアプリケーションデフォルト認証情報やMicrosoft Azureのアクセストークン、サービスプリンシパルプロファイルが狙われます。
- KubernetesおよびHelmの設定: KubernetesのサービスアカウントトークンやHelmレジストリの設定情報も窃取対象です。
- 開発・デプロイメントプラットフォームのトークン: DigitalOcean、Heroku、Vercel、Netlify、Railway、Fly.ioなどの認証トークンが狙われます。
- HashiCorp Vaultトークン: 機密情報管理ツールであるHashiCorp Vaultのトークンも窃取の対象です。
- CI/CDツール関連: Jenkins、GitLab Runners、GitHub Actions、CircleCI、TravisCI、ArgoCDなどの認証トークンや設定が狙われます。
暗号通貨ウォレットとブラウザデータ
- 暗号通貨ウォレットのシードフレーズとファイル: Electrum、Exodus、Atomic、Ledger Live、Trezor、Wasabi、Sparrowなどのデスクトップウォレットや、MetaMask、Phantom、Trust Wallet、Ronin、Keplr、Solflare、Rabbyなどのブラウザ拡張機能ウォレットから、シードフレーズや関連ファイルが窃取されます。
- ブラウザの履歴、Cookie、ログインデータ: Google Chrome、Microsoft Edge、Mozilla Firefox、Brave、Operaなど、主要なウェブブラウザから履歴、Cookie、保存されたログイン情報が窃取されます。特筆すべきは、Chromiumベースのブラウザに実装されているアプリケーション結合型暗号化(ABE)保護を回避するためのBase64エンコードされたWindows実行ファイルが埋め込まれている点です。
パスワードマネージャー、SSHキー、VPN設定など
- パスワードマネージャーのデータ: 1Password、Bitwarden、LastPass、KeePass、Dashlane、NordPassなどのローカルボールトやブラウザ拡張機能データが狙われます。
- PuTTY/WinSCPの保存セッション: Windows環境で広く利用されるSSH/SFTPクライアントであるPuTTYやWinSCPに保存されたセッション情報が窃取されます。
- Windows Credential Managerダンプ: Windowsの資格情報マネージャーに保存されている情報がダンプされます。
- RDPファイル: リモートデスクトップ接続ファイルも窃取対象です。
- チャットアプリケーションのセッショントークン: Discord、Slack、Telegramなどのアプリケーションのセッショントークンが狙われます。
- メールクライアントおよびFTPクライアントのデータ: Microsoft Outlook、Thunderbird、FileZilla、WinSCP、CoreFTPなどの人気FTPクライアントから設定や認証情報が窃取されます。
- システム設定ファイルと認証情報: Docker認証トークン、SSHプライベートキー、Git認証情報、シェル履歴ファイル、データベース履歴ファイル、Kubernetesクラスター設定、
.envファイル、wp-config.php、docker-compose.ymlなど、開発環境の重要な設定ファイルや認証情報が狙われます。 - 環境変数: PHPプロセスにロードされている環境変数も窃取対象です。
- ソースコード管理の認証情報: グローバルおよびローカルの
.gitconfigファイル、.git-credentials、.netrcファイルからソースコード管理の認証情報が窃取されます。 - VPN設定とログインファイル: OpenVPN、WireGuard、NetworkManager、NordVPN、ExpressVPN、CyberGhost、Mullvadなどの商用VPNを含む、VPN設定ファイルと保存されたログイン情報が狙われます。
これらの情報が窃取されると、攻撃者は開発者のアカウントを乗っ取り、さらなる攻撃の足がかりとしたり、企業の機密情報を盗み出したり、暗号通貨を不正に送金したりするなど、甚大な被害を引き起こす可能性があります。
影響を受ける開発者と推奨される対策
今回のLaravel-Langパッケージへの攻撃は、PHP開発者、特にLaravelフレームワークを利用している方々にとって、極めて深刻な脅威です。サプライチェーン攻撃は、正当なソフトウェア配布経路を悪用するため、通常のセキュリティ対策では見過ごされがちです。開発者は、自身の環境が侵害されていないか直ちに確認し、適切な対策を講じる必要があります。
影響を受ける可能性のあるユーザー層
Laravel-Langのパッケージをプロジェクトに導入しているすべての開発者、およびそれらのパッケージを利用するアプリケーションを運用している企業が潜在的な影響を受けます。特に、CI/CDパイプラインやデプロイメント環境でこれらのパッケージを自動的に利用している場合、攻撃者の侵入経路となるリスクが高まります。
直ちに確認すべきこと
- パッケージバージョンの確認: プロジェクトで使用しているLaravel-Lang関連パッケージのバージョンを確認し、不審なバージョンや最近更新されたバージョンがないかチェックしてください。
- 不審なファイルの有無:
src/helpers.phpのような、意図しないファイルがパッケージディレクトリ内に存在しないか確認してください。 - ネットワーク通信の監視:
flipboxstudio[.]infoへの不審な通信が発生していないか、ネットワークログを監視してください。
推奨される対策
今回の攻撃から身を守り、将来的なリスクを軽減するために、以下の対策を強く推奨します。
- パッケージの更新と検証: 信頼できるソースから最新かつクリーンなバージョンのパッケージに更新してください。可能であれば、パッケージのハッシュ値を検証し、改ざんがないことを確認することが重要です。
- 認証情報のローテーション: 窃取された可能性のあるすべての認証情報(クラウドAPIキー、SSHキー、データベースパスワード、VPNパスワード、ウォレットのシードフレーズなど)を直ちに無効化し、新しいものに交換してください。
- 多要素認証(MFA)の徹底: すべてのサービスにおいて、可能な限り多要素認証を有効にし、セキュリティを強化してください。
- 最小権限の原則の適用: 開発環境やCI/CD環境で使用する認証情報には、必要最小限の権限のみを付与し、万が一侵害された場合のリスクを最小限に抑えるようにしてください。
- セキュリティ監査の実施: 開発環境、本番環境、CI/CDパイプライン全体に対して、定期的なセキュリティ監査を実施し、脆弱性や不審なアクティビティがないかを確認してください。
- サプライチェーンセキュリティの強化: 依存する外部パッケージの選定には細心の注意を払い、信頼性の高いソースからのもののみを使用し、定期的に脆弱性スキャンを実施する体制を構築してください。
- エンドポイントセキュリティの強化: 開発者のPCやサーバーに、最新のエンドポイント検出・応答(EDR)ソリューションを導入し、マルウェアの検出と封じ込め能力を高めてください。
まとめ:サプライチェーン攻撃の脅威と開発者の責任
今回のLaravel-Langパッケージを狙ったサプライチェーン攻撃は、現代のソフトウェア開発において、依存関係にある外部パッケージがいかに大きなセキュリティリスクとなり得るかを改めて浮き彫りにしました。攻撃者は、開発エコシステムの最も脆弱な部分を突き、広範な機密情報を窃取しようと試みています。
この事件は、単に特定のパッケージの脆弱性にとどまらず、ソフトウェアサプライチェーン全体のセキュリティに対する意識を根本から見直す必要性を示唆しています。開発者は、自身が利用するすべての外部コンポーネントに対して、その信頼性とセキュリティを常に検証する責任があります。また、企業は、開発プロセス全体におけるセキュリティ対策を強化し、サプライチェーン攻撃から自社の資産と顧客データを守るための堅牢なフレームワークを構築することが求められます。
今後も、このような巧妙な攻撃手法は進化し続けると予想されます。開発コミュニティ全体が連携し、情報共有と継続的なセキュリティ対策の実施を通じて、新たな脅威に対抗していくことが不可欠です。
