Comprueba ya tu composer.lock: guía para quienes actualizaron Laravel‑Lang después del 22 de mayo
Ataque masivo afectó a más de 700 versiones y la protección ni siquiera funcionó.
Los paquetes populares Laravel-Lang quedaron involucrados en un gran ataque a la cadena de suministro: el atacante no añadió código malicioso a los repositorios principales, sino que sustituyó las etiquetas históricas de las versiones. Debido a ese método, la versión infectada podía parecer una actualización normal y se ejecutaba automáticamente cuando la aplicación funcionaba.
Según Aikido, Step Security y Snyk, el ataque comenzó el 22 de mayo de 2026 y afectó a los paquetes laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/actions y laravel-lang/attributes publicados a través de Packagist. Estas bibliotecas se usan en proyectos Laravel para traducciones, mensajes de validación y descripciones de estados HTTP. Snyk estima que la magnitud de la infección supera las 700 versiones históricas, aunque los primeros informes hablaban de aproximadamente 233 lanzamientos maliciosos.
El atacante aprovechó una particularidad de la combinación GitHub y Packagist: las etiquetas podían apuntar a commits de un fork controlado por el atacante, en lugar del código del repositorio oficial. En las versiones sustituidas añadieron el archivo src/helpers.php y lo registraron en Composer mediante autoload.files. Ese archivo se carga de inmediato al incluir vendor/autoload.php, por lo que el código malicioso se ejecutaba sin invocar ninguna función adicional.
La primera etapa se comunicaba con el dominio flipboxstudio[.]info, descargaba un segundo componente y lo ejecutaba en segundo plano. Después, el programa malicioso recopilaba secretos del entorno, de CI/CD, de perfiles en la nube de AWS, GCP y Azure, de Kubernetes, de Vault, de claves SSH, de archivos .env, de navegadores, de gestores de contraseñas, de carteras de criptomonedas y de tokens de Slack, Discord y Telegram. Tras enviar los datos al servidor del atacante, el programa intentaba borrar las huellas del disco.
Packagist eliminó las versiones maliciosas y ocultó temporalmente los paquetes afectados. Los proyectos que instalaron Laravel-Lang después del 22 de mayo de 2026 deben comprobar composer.lock, la presencia de src/helpers.php en vendor/laravel-lang, las llamadas a flipboxstudio[.]info y la carpeta temporal .laravel_locale.
Si se confirma la instalación de una versión infectada, es más seguro considerar comprometidos todos los secretos accesibles al proceso PHP y reemplazar con urgencia las claves, tokens y contraseñas.