Im Mai 2026 erschütterte ein gezielter Supply-Chain-Angriff die PHP-Entwickler-Community. Vier populäre Laravel-Lang Pakete wurden kompromittiert — und innerhalb von nur sechs Stunden landete Credential-Stealing-Malware in über 5.500 GitHub-Repositories weltweit. Wer Laravel-Lokalisierungspakete einsetzt, sollte jetzt handeln.
Was ist ein Supply Chain Angriff?
Bei einem Supply-Chain-Angriff wird nicht das eigentliche Ziel direkt angegriffen, sondern ein vertrauenswürdiger Dritter in der Software-Lieferkette. In diesem Fall wurden legitime, weit verbreitete Open-Source-Pakete vergiftet — mit dem Ziel, möglichst viele Entwickler-Systeme gleichzeitig zu infizieren.
Besonders heimtückisch: Die Angreifer haben keine einzige Zeile Code direkt in die offiziellen Repositories eingespielt. Stattdessen nutzten sie eine wenig bekannte GitHub-Funktion aus.
Wie funktionierte der Angriff?
GitHub erlaubt es, Versions-Tags auf Commits aus Forks desselben Repositories zu zeigen. Die Angreifer erstellten einen bösartigen Fork, injizierten dort Schadcode — und verknüpften historische Versions-Tags der offiziellen Pakete mit diesen kompromittierten Commits.
Das Ergebnis: Wer über Composer eine bereits bekannte, vermeintlich stabile Version installierte oder im Cache hatte, erhielt automatisch die manipulierte Version. Der PHP Autoloader lud die Malware ohne weiteres Zutun.
Welche Pakete sind betroffen?
Vier Pakete aus dem laravel-lang Namespace auf Packagist wurden kompromittiert:
laravel-lang/lang
laravel-lang/attributes
laravel-lang/http-statuses
laravel-lang/actions
Insgesamt wurden rund 700 historische Versionen manipuliert — und über 5.500 downstream Repositories in nur sechs Stunden kompromittiert.
Was wurde gestohlen?
Der Payload war ein rund 5.900 Zeilen langer PHP Credential Stealer mit 15 spezialisierten Modulen. Ziele der Malware:
Cloud-Zugangsdaten (AWS, Azure, GCP)
Datenbank-Credentials und API-Schlüssel
Browser-gespeicherte Passwörter
Kryptowallet-Daten
Entwickler-Secrets aus lokalen .env-Dateien
Die Reaktion der Community
Packagist reagierte schnell: Die bösartigen Versionen wurden entfernt und die betroffenen Pakete vorübergehend degelistet. Die offiziellen Pakete sind inzwischen wieder verfügbar — in bereinigten Versionen. Security-Researcher von Aikido und Snyk dokumentierten den Angriff detailliert und halfen dabei, das Ausmaß zu verstehen.
Was sollten Sie jetzt tun?
Wenn Sie eines der betroffenen Pakete in Ihren Projekten einsetzen, handeln Sie sofort:
Installierte Versionen prüfen:
composer show laravel-lang/*Alle Secrets sofort rotieren: Datenbank-Passwörter, API-Schlüssel, Cloud-Credentials
Security-Audit der betroffenen Umgebungen durchführen
Auf die neuesten bereinigten Versionen updaten
Fazit
Dieser Angriff zeigt eindrücklich, wie verwundbar moderne Software-Ökosysteme durch ihre Abhängigkeit von Drittanbieter-Paketen sind. Version-Pinning allein schützt nicht — wenn Tags manipuliert werden, reicht das nicht aus. Regelmäßige Dependency-Audits, automatisierte Security-Scans und schnelles Reagieren auf Security-Advisories sind heute keine Option mehr, sondern Pflicht für jeden Entwickler.
Haben Sie Fragen zur Sicherheit Ihrer Laravel-Anwendung oder möchten Sie Ihre Abhängigkeiten auf Schwachstellen prüfen lassen? Das Team von eazyCode unterstützt Sie gerne. Kontaktieren Sie uns unverbindlich — wir antworten innerhalb von 24 Stunden.