Attacco alla supply chain Laravel-Lang: quando il rischio entra da una dipendenza fidata

Perché le aziende devono proteggere sviluppo, CI/CD e componenti open source prima che diventino il punto d’ingresso degli attaccanti

Negli ultimi giorni la community PHP e Laravel è stata colpita da un nuovo caso di compromissione della software supply chain: alcuni pacchetti della famiglia Laravel-Lang, usati per la localizzazione e le traduzioni nelle applicazioni Laravel, sono stati manipolati per distribuire un credential stealer cross-platform. Secondo quanto riportato da The Hacker News, i pacchetti coinvolti includono laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes e laravel-lang/actions.

L’aspetto più preoccupante non è soltanto la presenza di codice malevolo, ma il modo in cui l’attacco è stato realizzato. I ricercatori hanno osservato la pubblicazione o riscrittura rapida di centinaia di tag tra il 22 e il 23 maggio 2026, un comportamento compatibile con una compromissione del processo di rilascio dell’organizzazione Laravel-Lang, più che con una singola versione malevola isolata.

In pratica, un componente che gli sviluppatori potevano considerare “normale” e “affidabile” è diventato un veicolo per eseguire codice non autorizzato all’interno di ambienti di sviluppo, pipeline CI/CD, container, server e workstation.

Il vero problema: non serve bucare il perimetro, basta entrare nel processo di sviluppo

Gli attacchi moderni non cercano sempre la porta principale. Sempre più spesso puntano agli strumenti usati ogni giorno dagli sviluppatori: librerie open source, package manager, token di accesso, script di build, repository Git, sistemi di deploy e ambienti cloud.

Nel caso Laravel-Lang, il codice malevolo è stato inserito in un file src/helpers.php e agganciato alla sezione autoload.files di Composer. Questo dettaglio è fondamentale: i file dichiarati in autoload.files vengono caricati automaticamente quando l’applicazione avvia l’autoloader di Composer. Di conseguenza, non era necessario che uno sviluppatore invocasse esplicitamente una funzione compromessa: il payload poteva attivarsi semplicemente all’avvio dell’applicazione o durante l’esecuzione di comandi e processi collegati.

Il malware contattava il dominio flipboxstudio[.]info, scaricava un secondo payload ed era progettato per operare su Windows, Linux e macOS. Le analisi pubblicate indicano capacità di raccolta di credenziali cloud, token CI/CD, chiavi SSH, segreti Kubernetes, file .env, credenziali Git, password manager, dati browser, configurazioni VPN e altri dati sensibili.

Questo significa che l’impatto potenziale non riguarda soltanto il sito Laravel in sé. Un attacco di questo tipo può aprire la strada a compromissioni molto più ampie: accesso al cloud, movimento laterale, furto di codice sorgente, manipolazione delle pipeline, compromissione di ambienti di produzione e perdita di dati riservati.

“Abbiamo aggiornato i pacchetti” non basta più

Uno degli errori più comuni dopo un incidente di supply chain è trattarlo come una normale vulnerabilità: si aggiorna la libreria, si chiude il ticket e si considera risolto il problema.

In questo caso, però, l’approccio deve essere diverso. Snyk raccomanda di trattare come potenzialmente compromesso ogni ambiente che abbia installato uno dei pacchetti coinvolti nella finestra dell’attacco, perché le versioni compromesse sono state successivamente rimappate e il solo numero di versione potrebbe non bastare a stabilire se un sistema sia stato esposto.

Le attività minime da considerare includono il controllo di composer.lock e composer.json, la verifica della presenza di src/helpers.php nei pacchetti laravel-lang/*, la ricerca di cartelle temporanee come .laravel_locale, l’analisi dei log DNS e firewall verso flipboxstudio[.]info, la rotazione dei segreti e la ricostruzione degli ambienti coinvolti da immagini pulite.

Il punto è chiaro: quando un malware ha avuto accesso a un processo PHP, a una pipeline o a un runner CI/CD, bisogna presumere che tutto ciò che quel processo poteva leggere sia stato potenzialmente esfiltrato.

La supply chain software è ormai parte del perimetro aziendale

Per anni la cybersecurity aziendale si è concentrata soprattutto su firewall, antivirus, backup e protezione degli endpoint. Sono ancora elementi importanti, ma non bastano più.

Oggi il perimetro include anche:

• le dipendenze open source;
• i repository Git;
• i token usati da sviluppatori e pipeline;
• i file .env;
• le immagini container;
• i runner CI/CD;
• le configurazioni cloud;
• i fornitori software e i componenti terzi.

Anche il quadro normativo europeo va in questa direzione. La Direttiva NIS2 include tra le misure di gestione del rischio anche la sicurezza della catena di approvvigionamento, comprese le relazioni tra organizzazioni e fornitori o prestatori di servizi.

Questo significa che proteggere la software supply chain non è più solo una buona pratica tecnica: sta diventando una responsabilità organizzativa, contrattuale e di continuità operativa.

Come Elsinor può aiutare le aziende a proteggersi

Elsinor opera nel mondo dello sviluppo software e della consulenza digitale, con un posizionamento orientato alla costruzione di soluzioni solide e durature. Proprio per questo, un incidente come quello Laravel-Lang dimostra quanto sia importante affiancare allo sviluppo applicativo un approccio strutturato alla sicurezza.

La protezione non può essere lasciata al singolo sviluppatore o a controlli manuali occasionali. Serve un metodo.

Con un servizio dedicato, Elsinor può aiutare le aziende a ridurre il rischio attraverso un percorso concreto:

Analisi delle dipendenze e dei progetti esistenti.
Il primo passo è capire quali librerie sono presenti nei progetti, quali package manager vengono utilizzati, quali versioni sono installate e quali dipendenze transitivamente introducono rischio.

Controllo della pipeline di sviluppo.
Le pipeline CI/CD devono essere trattate come asset critici. Token troppo permissivi, runner esposti, segreti in variabili d’ambiente e deploy automatici non controllati possono trasformare un singolo pacchetto compromesso in un incidente aziendale.

Hardening degli ambienti Laravel, PHP e cloud.
Applicazioni, container, server e ambienti di staging devono essere configurati con privilegi minimi, segregazione dei segreti, controllo dell’egress di rete e logging adeguato. Un’applicazione non dovrebbe poter contattare domini arbitrari o leggere credenziali non necessarie.

Gestione dei segreti e rotazione delle credenziali.
Chiavi cloud, token GitHub/GitLab, credenziali database, chiavi SSH, API key e segreti applicativi devono essere inventariati, protetti e ruotati secondo procedure definite. Dopo un sospetto incidente, la rotazione non è opzionale: è parte della risposta.

Monitoraggio e risposta agli incidenti.
Non basta prevenire. Bisogna anche rilevare comportamenti anomali: connessioni verso domini sospetti, processi PHP inattesi, accessi a metadata service cloud, letture anomale di file .env, modifiche nei lockfile e cambiamenti imprevisti nei pacchetti.

Dalla reazione alla prevenzione

L’ecosistema Composer e Packagist sta già introducendo contromisure più forti, come maggiore immutabilità delle versioni, controlli sulle versioni segnalate come malware, dependency policy e meccanismi più avanzati per ridurre il rischio di installare pacchetti compromessi.

Ma le aziende non possono aspettare che l’intero ecosistema risolva il problema per loro.

Ogni organizzazione che sviluppa software deve dotarsi di processi interni per verificare ciò che entra nel codice, ciò che viene eseguito nelle pipeline e ciò che può accedere ai segreti aziendali. L’attacco a Laravel-Lang è un avviso: anche una dipendenza apparentemente innocua può diventare il punto d’ingresso per sottrarre credenziali, compromettere ambienti cloud e interrompere la continuità operativa.

Conclusione: la sicurezza va integrata nel ciclo di sviluppo

La domanda non è più: “Usiamo librerie open source sicure?”
La domanda corretta è: “Siamo in grado di accorgerci rapidamente se una libreria fidata diventa improvvisamente ostile?”

Con Elsinor, la sicurezza può diventare parte integrante del ciclo di sviluppo: dall’analisi delle dipendenze alla protezione delle pipeline, dalla gestione dei segreti alla risposta agli incidenti.

Perché oggi proteggere il software non significa soltanto scrivere buon codice. Significa governare tutto ciò che quel codice importa, esegue, carica e distribuisce.

Elsinor aiuta le aziende a costruire software più solido, più controllato e più resiliente. Anche quando il rischio arriva da ciò che sembrava affidabile.