Sicherheitsforscher haben einen Supply-Chain-Angriff auf die PHP-Pakete der Laravel-Lang-Organisation dokumentiert. Die Angreifer schrieben über 700 Git-Tags um und betteten einen plattformübergreifenden Credential-Stealer ein, der Cloud-Zugänge, Browser-Daten und Passwort-Tresore ab­greift. Die Schadroutine startet automatisch bei jedem Hochfahren einer Anwendung, die ein betroffenes Paket einbindet.