PHPフレームワーク「Laravel」に関連する偽パッケージがPackagist上で公開され、インストールした環境にRAT(遠隔操作型マルウェア)を展開していたと報じられています。影響はWindows、macOS、Linuxに及び、開発者を標的とした巧妙なサプライチェーン攻撃の一例となっています。本記事では、その概要と実務上の対策を整理します。
出典:The Hacker News:Fake Laravel Packages on Packagist Deploy RAT on Windows, macOS, and Linux
この記事のポイント
影響のあるシステム
- 以下の特定のPackagistパッケージを取得・利用している開発環境
nhattuanbl/lara-helpernhattuanbl/simple-queuenhattuanbl/lara-swagger(上記を依存関係として読み込む)
- Windows、macOS、Linux上のすべてのPHP開発環境
- CI/CD環境など、自動ビルドプロセスに外部依存関係を組み込んでいるプロジェクト
推奨される対策
- 特定のパッケージ(nhattuanbl/〜)の即時削除
- .envファイルに含まれるAPIキーやパスワードの再発行(ローテーション)
- 開発端末・サーバーに対するアウトバウンド通信の監査とマルウェアスキャン
- 不要なパッケージの削除および依存関係の徹底した棚卸し
この記事に出てくる専門用語
- RAT(Remote Access Trojan): 攻撃者が感染端末を遠隔操作できるようにするマルウェアです。今回のケースでは、シェルコマンド実行や画面キャプチャ、ファイルの窃取が可能です。
- Packagist: PHP向けパッケージ管理ツールComposerで利用される主要なリポジトリです。
- サプライチェーン攻撃: 信頼されているソフトウェア配布経路(リポジトリ等)を悪用し、マルウェアを拡散させる攻撃手法です。
開発者を標的とした偽パッケージの概要
報道によると、Laravelに関連する名称を装った偽のパッケージがPackagist上に公開されました。特に悪質なのは、攻撃者が nhattuanbl/lara-media のような「無害なライブラリ」も同時に公開して信頼を構築**し、開発者を油断させてマルウェア入りのパッケージへ誘導していた点です。
Laravelはエコシステムが巨大であり、利便性を求めて外部パッケージを追加する機会が多いため、こうした「正規リポジトリを経由した攻撃」は、従来のセキュリティ対策をすり抜けて混入するリスクが非常に高いと言えます。
マルウェアの挙動とクロスプラットフォームへの影響
今回確認されたRATは、主要なデスクトップ環境すべてに対応しています。感染すると、PHPの stream_socket_client() を通じてC2サーバーへ接続し、以下のような操作が行われるおそれがあります。
- 情報の窃取: システム情報、データベース接続情報、
.envファイルの内容。 - 遠隔操作: シェルコマンドやPowerShellの実行、ファイルのアップロード・ダウンロード。
- 画面監視:
imagegrabscreen()によるスクリーンショットの取得。
攻撃者はPHPの「無効化された関数(disable_functions)」を回避してコマンドを実行する仕組みを備えており、一般的なサーバーのハードニング設定をくぐり抜ける耐性を持っています。
国内企業が見直すべき開発プロセス
今回の事案は、依存関係管理の重要性を改めて突きつけました。企業は、外部パッケージ導入時に提供元の公開履歴やダウンロード数を確認するプロセスを整備する必要があります。
また、侵害が発生した際は「パッケージの削除」だけでは不十分です。RATによって環境変数(APIキーやデータベース認証情報)がすでに盗まれている前提で、すべての機密情報をリセットする「インシデント対応」が求められます。サプライチェーン攻撃は今後も多様化するため、最小権限の原則の徹底や、EDR等によるエンドポイント監視の強化が不可欠です。
参考文献・記事一覧
投稿者プロフィール
-
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
■ 情報セキュリティサービス台帳登録事業者
■ セキュリティコンテスト受賞歴
Hack The Box Business CTF 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10
■ 保有セキュリティ資格
GIAC GXPN、Cisco Cybersecurity Specialist、CEH Master、CEH Practical、
Cyber Security Professional Certificate、OSCP、OSCP+、CPENT、OSWP、
eCPPT、eMAPT、CRTS、SOC-100、PEN-100、
HTB Offshore Penetration Tester(Level 3)
最新の投稿
2026.05.12開発者情報流出の懸念、Checkmarx攻撃とGitHubリポジトリ侵害の実態- 2026.05.11検知は速いのに防げない?「ポストアラートギャップ」が企業を危険にさらす理由
- 2026.05.10AIサプライチェーンに波及する脆弱性、MCPの構造的問題とは
- 2026.05.09Claude Mythosが変えるセキュリティ運用、企業が直面する修復プロセスの限界
