Pengantar

Ekosistem open source kembali diguncang oleh serangan supply chain attack. Kali ini, beberapa package populer milik Laravel-Lang dilaporkan telah disusupi malware yang mampu mencuri credential, token, hingga data sensitif dari sistem developer maupun server produksi.

Insiden ini menjadi pengingat bahwa dependency atau library pihak ketiga yang digunakan sehari-hari ternyata juga dapat menjadi jalur serangan siber yang sangat berbahaya.

Menurut laporan dari , attacker berhasil menyisipkan kode berbahaya ke beberapa package Laravel-Lang yang banyak digunakan komunitas PHP dan Laravel di seluruh dunia.

Apa Itu Laravel-Lang?

Laravel memiliki banyak package tambahan yang membantu developer mempercepat proses pengembangan aplikasi. Salah satunya adalah Laravel-Lang.

Laravel-Lang merupakan kumpulan package translasi yang digunakan untuk menyediakan berbagai bahasa pada aplikasi Laravel. Package ini cukup populer karena memudahkan developer membuat aplikasi multibahasa.

Beberapa package yang terdampak antara lain:

  • laravel-lang/lang
  • laravel-lang/http-statuses
  • laravel-lang/attributes
  • laravel-lang/actions

Karena package ini digunakan banyak proyek Laravel, attacker melihatnya sebagai target yang sangat menarik untuk melakukan supply chain attack.

Kronologi Serangan

Serangan ini pertama kali ditemukan oleh peneliti keamanan dari dan beberapa peneliti keamanan lainnya.

Menurut laporan, kompromi terjadi sekitar tanggal 22–23 Mei 2026. Penyerang berhasil mempublikasikan ratusan tag berbahaya ke repository package Laravel-Lang.

Yang menarik, attacker tidak mengubah source code utama repository secara langsung. Mereka memanfaatkan manipulasi release tags sehingga package berbahaya tetap terlihat seperti update resmi.

Teknik seperti ini cukup berbahaya karena developer sering melakukan update package tanpa memeriksa isi perubahan secara detail.

Bagaimana Malware Bekerja?

Malware disisipkan melalui file PHP tertentu yang akan otomatis dijalankan ketika aplikasi Laravel menggunakan Composer autoload.

Secara sederhana, alurnya seperti ini:

  1. Developer melakukan update package menggunakan Composer.
  2. Package berbahaya ikut terinstall.
  3. Malware berjalan otomatis di server atau komputer developer.
  4. Malware mulai mengumpulkan credential dan data sensitif.
  5. Data dikirim ke server attacker.

Karena berjalan otomatis, banyak developer kemungkinan tidak menyadari bahwa sistem mereka telah terinfeksi.

Data Apa Saja yang Dicuri?

Menurut laporan keamanan, malware ini dirancang untuk mencuri berbagai credential penting.

Credential Cloud

Malware mencoba mengambil akses ke layanan cloud seperti:

  • AWS
  • Google Cloud
  • Azure
  • Kubernetes

Jika attacker mendapatkan credential cloud, mereka dapat mengakses server, database, hingga storage perusahaan.

Token CI/CD

Malware juga menargetkan token automation dan DevOps seperti:

  • GitHub Actions
  • GitLab Runner
  • Jenkins
  • CircleCI

Bagi perusahaan modern, token CI/CD sangat sensitif karena dapat digunakan untuk mengakses pipeline deployment aplikasi.

File Rahasia Developer

Beberapa file penting yang menjadi target antara lain:

  • .env
  • SSH key
  • Docker credential
  • Git credential

File .env sangat berbahaya jika bocor karena biasanya berisi:

  • Password database
  • API key
  • Secret token
  • Credential email
  • Konfigurasi cloud

Browser dan Password Manager

Malware juga mencoba mencuri data browser dan password manager seperti:

  • Chrome
  • Firefox
  • Edge
  • Bitwarden
  • LastPass

Ini menunjukkan bahwa target utama serangan bukan hanya server, tetapi juga workstation developer.

Mengapa Serangan Ini Sangat Berbahaya?

Supply chain attack seperti ini sangat berbahaya karena menyerang jalur yang dipercaya developer.

Biasanya developer menganggap package open source populer aman digunakan. Namun ketika package tersebut disusupi, ribuan bahkan jutaan sistem dapat ikut terinfeksi secara bersamaan.

Beberapa alasan mengapa serangan ini berbahaya:

  • Malware berjalan otomatis
  • Sulit dideteksi
  • Menyerang server dan komputer developer
  • Dapat mencuri credential perusahaan
  • Berpotensi membuka akses ke infrastruktur cloud

Dalam banyak kasus, pencurian credential dapat menjadi langkah awal untuk serangan yang lebih besar seperti ransomware atau data breach.

Apa Itu Supply Chain Attack?

Supply chain attack adalah serangan yang dilakukan dengan menyusupi software, library, atau dependency yang digunakan banyak orang.

Alih-alih menyerang target secara langsung, attacker menyerang “rantai distribusi software”.

Contoh supply chain attack yang pernah terjadi:

  • Serangan SolarWinds
  • Malware pada package npm
  • Malware pada PyPI Python
  • Kompromi dependency Composer PHP

Karena developer modern sangat bergantung pada open source, supply chain attack menjadi ancaman yang semakin meningkat.

Cara Mengecek Apakah Sistem Terinfeksi

Developer dan administrator server disarankan segera melakukan pemeriksaan.

Beberapa langkah yang dapat dilakukan:

Periksa Dependency Composer

Cek package Laravel-Lang yang digunakan:

composer show

Periksa versi package yang terinstall.

Audit File Mencurigakan

Periksa apakah terdapat file PHP mencurigakan pada folder vendor.

Contoh:

vendor/laravel-lang/

Monitoring Koneksi Outbound

Periksa apakah server melakukan koneksi ke domain asing yang tidak dikenal.

Ganti Semua Credential

Jika ada kemungkinan sistem terinfeksi:

  • Ganti password
  • Rotasi API key
  • Regenerate token CI/CD
  • Ganti SSH key

Langkah ini sangat penting untuk mencegah attacker mempertahankan akses.

Langkah Mitigasi

Berikut beberapa langkah mitigasi yang disarankan:

Update ke Versi Aman

Gunakan versi package yang telah diperbaiki oleh maintainer resmi.

Gunakan Dependency Scanner

Gunakan tools keamanan seperti:

  • Composer Audit
  • Dependabot
  • Snyk
  • Trivy

Tools ini membantu mendeteksi dependency berbahaya.

Terapkan Principle of Least Privilege

Jangan memberikan akses berlebihan pada token atau credential aplikasi.

Gunakan Secret Management

Simpan credential menggunakan:

  • Vault
  • AWS Secrets Manager
  • Azure Key Vault

Hindari menyimpan secret langsung di file project.

Pelajaran Penting bagi Developer

Insiden ini memberikan pelajaran penting bahwa:

  • Package populer belum tentu aman
  • Dependency harus diaudit secara berkala
  • Update package perlu dilakukan dengan hati-hati
  • Credential harus selalu dilindungi
  • Monitoring keamanan sangat penting

Di era modern, keamanan aplikasi bukan hanya tentang source code yang kita tulis sendiri, tetapi juga tentang library yang kita gunakan.

Kesimpulan

Kasus kompromi package Laravel-Lang menunjukkan bahwa supply chain attack kini menjadi salah satu ancaman terbesar di dunia software development.

Dengan hanya menyusupi satu dependency populer, attacker dapat menjangkau ribuan sistem developer dan server produksi.

Karena itu, developer, DevOps engineer, dan administrator server perlu meningkatkan kewaspadaan terhadap dependency pihak ketiga yang digunakan dalam proyek mereka.

Keamanan software modern bukan lagi pilihan, tetapi kebutuhan utama.

Related Posts: