文章总结： Socket团队披露Laravel生态系统遭供应链攻击，黑客在Packagist发布含RAT木马的恶意PHP包。攻击者利用依赖关系植入恶意代码，通过多层混淆技术驻留受害者主机，可窃取数据库凭据与执行系统命令。该攻击手法隐蔽，严重威胁开发者安全。建议立即审查composer.json并移除nhattuanbl相关包以消除风险。 综合评分： 89 文章分类： 供应链安全,恶意软件,漏洞预警

黑客在Laravel 生态系统中隐藏恶意PHP包，发动供应链攻击

Ddos Ddos

代码卫士

2026年3月9日 17:31 北京

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

Socket公司的威胁研究团队揭露了一起通过 Laravel 生态系统核心包仓库 Packagist 展开的、针对PHP开发者的复杂供应链攻击。一名代号为nhattuanbl的威胁行动者被指分发在看似无害的实用工具包中内嵌的远程访问木马。

攻击显示出高阶社交工程手法：攻击者先发布了三个”干净”的软件包以建立合法表象，之后才将恶意代码植入更新版本中。经调查确认，用于传播感染的具体软件包共有三个：

• nhattuanbl/lara-helper：一个包含主要RAT有效负载的实用工具包。
• nhattuanbl/simple-queue：一个包含完全相同的恶意代码的异步队列包。
• nhattuanbl/lara-swagger：一个具有欺骗性的“干净”包，其本身不包含恶意代码，但将 lara-helper 列为一个硬性依赖项。

lara-swagger 的使用手法尤为狡猾。研究人员指出，“安装这个包会静默地自动拉取 RAT”，因为它明确地将恶意的 lara-helper 作为 dev-master 版本的依赖项。该模式被描述为“一种能够绕过仅关注直接安装包的审查的有效方式”。

该 RAT 通过 src/helper.php 文件传递，并利用多层混淆技术来抵抗分析，包括“goto spaghetti”逻辑、十六进制编码的字符串以及随机化的标识符。一旦在应用启动过程中被激活，它便会创建一个分离的后台进程，以保持与命令与控制服务器的持久连接。

位于 helper[.]leuleu[.]net:2096 的 C2 服务器可以向被入侵的主机下达多种命令：

| | | | — | — | | 命令 | 行为 | | ping | 心跳连接，每60秒自动发送一次 | | info | 将完整的系统侦查信息回传给C2。 | | cmd | 执行一条Shell命令，返回 stdout。 | | powershell | 执行一条PowerShell命令，返回 stdout。 | | run | 执行一条Shell命令，不返回输出。 | | screenshot | 使用imagegrabscreen()截取屏幕，以base64编码的PNG格式返回。 | | download | 从磁盘读取一个文件，以base64格式返回文件内容。 | | upload | 将base64数据写入磁盘文件，并设置权限为0777。 | | stop | 关闭套接字并退出。 |

由于该RAT与Web应用程序运行在同一个进程中，因此它继承了相同的文件系统权限和环境变量，使得威胁行动者能够访问“数据库凭据、API密钥以及.env文件中的内容”。

该报告提醒称，“任何安装了lara-helper或simple-queue的Laravel应用程序都在运行一个持久的RAT”。虽然在报告发布时，C2主机没有响应，但受感染的主机仍然面临风险：“RAT仍然存在于磁盘上，并且会无限期地每15秒重试一次连接”。

强烈建议开发者审查composer.json文件，并立即移除任何由nhattuanbl撰写的软件包。

开源卫士试用地址：https://sast.qianxin.com/#/login

代码卫士试用地址：https://codesafe.qianxin.com

推荐阅读

热门包管理器中存在多个漏洞，JavaScript 生态系统易受供应链攻击

开源自托管平台 Coolify 修复11个严重漏洞，可导致服务器遭完全攻陷

得不到就毁掉：第二轮Sha1-Hulud供应链攻击已发起，影响2.5万+仓库

vLLM 高危漏洞可导致RCE

开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

热门NPM库 “coa” 和“rc” 接连遭劫持，影响全球的 React 管道

开发人员注意：VSCode 应用市场易被滥用于托管恶意扩展

GitHub Copilot 严重漏洞可导致私有仓库源代码被盗

受 Salesforce 供应链攻击影响，全球汽车巨头 Stellantis 数据遭泄露

捷豹路虎数据遭泄露生产仍未恢复，幕后黑手或与 Salesforce-Salesloft 供应链攻击有关

十几家安全大厂信息遭泄露，谁是 Salesforce-Salesloft 供应链攻击的下一个受害者？

第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例，全球700+家企业受影响

黑客发动史上规模最大的 NPM 供应链攻击，影响全球10%的云环境

十几家安全大厂信息遭泄露，谁是 Salesforce-Salesloft 供应链攻击的下一个受害者？

第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例，全球700+家企业受影响

AI供应链易遭“模型命名空间复用”攻击

Frostbyte10：威胁全球供应链的10个严重漏洞

PyPI拦截1800个过期域名邮件，防御供应链攻击

PyPI恶意包利用依赖引入恶意行为，发动软件供应链攻击

黑客利用虚假 PyPI 站点钓鱼攻击Python 开发人员

700多个恶意误植域名库盯上RubyGems 仓库

NPM “意外” 删除 Stylus 合法包 全球流水线和构建被迫中断

固件开发和更新缺陷导致漏洞多年难修，供应链安全深受其害

NPM仓库被植入67个恶意包传播恶意软件

在线阅读版：《2025中国软件供应链安全分析报告》全文

NPM软件供应链攻击传播恶意软件

隐秘的 npm 供应链攻击：误植域名导致RCE和数据破坏

NPM恶意包利用Unicode 隐写术躲避检测

Aikido在npm热门包 rand-user-agent 中发现恶意代码

密币Ripple 的NPM 包 xrpl.js 被安装后门窃取私钥，触发供应链攻击

原文链接

Malicious PHP Packages Found Hidden in Laravel Ecosystem

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ddos Ddos《黑客在Laravel 生态系统中隐藏恶意PHP包，发动供应链攻击》