composer 包 laravel-lang/* 被黑客攻击，请大家及时检查。

攻击发生在 UTC 时间 5 月 22 日～23 日，如果在次期间安装或更新过 laravel-lang/* 包，请及时轮换本地密钥。

开源项目 Laravel 的社区本地化项目 Laravel Lang (这属于社区构建的项目与 Laravel 框架无关) 日前遭到黑客攻击，黑客劫持开发者账号后发布 700 多个恶意版本用于下游构建，最终目的是窃取被感染设备中的所有机密凭证。

Laravel Lang 项目的多个本地化软件包被下游项目使用，这些项目在构建时会自动加载含有恶意代码的软件包，而加载器在运行时会自动执行后门程序，随后恶意代码开始搜寻开发环境中的各类凭证并将其加密传输到黑客控制的服务器。

此次攻击虽然不是针对 NPM 生态系统的，但依然属于供应链攻击，使用 Laravel Lang 相关软件包的开发者请立即检查构建记录，最好立即将所有机密凭证全部轮换，也要检查各类凭证的登录日志看看是否存在异常行为。

受影响的项目软件包包括：Laravel-Lang/lang、Laravel-Lang/http-statuses、Laravel-Lang/attributes、Laravel-Lang/actions，开发者需要着重检查自己的项目里使用拉取以上软件包，如果完全没有使用这些软件包则可能不受影响。

内容来源：蓝点网 - 开源项目Laravel Lang(社区本地化项目)被攻击 黑客发布700多个恶意版本