o ataque que não fez barulho.
Você rodou um composer update, viu tudo verde e fechou o laptop satisfeito.Enquanto isso, um credential stealer varria seu SSH, seus tokens de AWS, o
histórico do seu bash e as senhas salvas no Chrome. E o repositório do pacote?
Limpo. Código impecável. Zero alerta.
Em maio de 2026, quatro pacotes do Laravel Lang (instalados por centenas de
milhares de projetos) foram comprometidos com uma das técnicas mais silenciosas
de supply chain attack já documentadas: a bomba não tava no código, tava nas
TAGS. Mais de 700 versões contaminadas em ~15 minutos.
Nesse vídeo eu destrincho como o ataque funcionou, por que o repo continuava
limpo, o que o malware roubava da sua máquina, por que isso não é novidade
nenhuma (event-stream, PyPI, NPM...) e, principalmente, o que você muda no seu
setup HOJE pra não ser o próximo.
CADEIRA ELEMENTS: https://links.chorume.dev/elements
🔗 FONTES E REFERÊNCIAS
Aikido Security — análise do ataque: https://www.aikidosecurity.com/blog/laravel-lang-supply-chain-attack
Socket — análise do helpers.php: https://socket.dev/blog/laravel-lang-compromise
StepSecurity — C2 e proteção: https://www.stepsecurity.io/blog/laravel-lang-supply-chain-attack
The Hacker News: https://thehackernews.com/2026/05/laravel-lang-php-packages-compromised.html
SecurityWeek — alvos do malware: https://www.securityweek.com/laravel-lang-packages-poisoned-for-malware-delivery/
CyberSecurityNews — impacto: https://cybersecuritynews.com/laravel-lang-packages-compromised/
Caso event-stream (2018) — Snyk: https://snyk.io/blog/a-post-mortem-of-the-malicious-event-stream-backdoor/
Sansec — vazamento de tokens via GitHub: https://sansec.io/research/composer-github-token-leak
Composer — commit do lockfile: https://getcomposer.org/doc/01-basic-usage.md#commit-your-composer-lock-file-to-version-control
GitHub — boas práticas de PAT: https://docs.github.com/en/authentication/keeping-your-account-and-data-secure/managing-your-personal-access-tokens
Packagist laravel-lang/lang: https://packagist.org/packages/laravel-lang/lang
⭐ Seja membro do canal: https://www.youtube.com/channel/UC1VZDEtGNxfQzh7EYcD2frg/join
📸 Instagram: https://instagram.com/manodeyvin
📌 Canal de cortes: https://www.youtube.com/@cortesdomanoofc
---------
📧 Precisa de recomendação de Pentesters / Devs Seniores? getsenior.app
---------
⏱️ CAPÍTULOS
00:00 composer update. e já era.
00:30 quem é o Mano Deyvin (e o voto no iBest)
00:59 o que é o Laravel Lang
01:39 a Aikido e a Socket farejaram algo estranho
02:30 a bomba não tava no código. tava nas tags
02:43 como o Composer confia nas tags
03:19 o golpe: fork + tags reescritas
04:06 600 versões em 15 minutos
04:28 só precisou de um token roubado
05:08 o helpers.php que subia sozinho
05:49 o checklist do inferno: o que o stealer roubava
07:41 isso não é novidade nenhuma
07:53 event-stream, npm e PyPI: o mesmo padrão
08:37 o dado da Sansec que assusta
09:15 #1 trava a versão no composer.lock
09:53 #2 auditoria de dependência na pipeline
10:17 #3 token de GitHub é senha de banco
10:53 #4 audite as tags dos pacotes críticos
11:21 e você, confia no Packagist?
11:53 [publi] cadeira Elements
Neste vídeo, mergulhamos no mundo do php composer e da programação para web development. Acompanhe o processo de atualização de packages e veja como o dev se satisfaz ao ver tudo "verde" no terminal. Exploramos também o universo do laravel e as nuances do composer php. Receive SMS online on sms24.me
TubeReader video aggregator is a website that collects and organizes online videos from the YouTube source. Video aggregation is done for different purposes, and TubeReader take different approaches to achieve their purpose.
Our try to collect videos of high quality or interest for visitors to view; the collection may be made by editors or may be based on community votes.
Another method is to base the collection on those videos most viewed, either at the aggregator site or at various popular video hosting sites.
TubeReader site exists to allow users to collect their own sets of videos, for personal use as well as for browsing and viewing by others; TubeReader can develop online communities around video sharing.
Our site allow users to create a personalized video playlist, for personal use as well as for browsing and viewing by others.
@YouTubeReaderBot allows you to subscribe to Youtube channels.
By using @YouTubeReaderBot Bot you agree with YouTube Terms of Service.
Use the @YouTubeReaderBot telegram bot to be the first to be notified when new videos are released on your favorite channels.
Look for new videos or channels and share them with your friends.
You can start using our bot from this video, subscribe now to o ataque que não fez barulho.
What is YouTube?
YouTube is a free video sharing website that makes it easy to watch online videos. You can even create and upload your own videos to share with others. Originally created in 2005, YouTube is now one of the most popular sites on the Web, with visitors watching around 6 billion hours of video every month.
