حزم PHP خبيثة من Packagist

رصد محللو الأمن السيبراني حزم PHP خبيثة على منصة Packagist تنتحل صفة مكتبات Laravel المساعدة المشروعة، بينما تقوم في الوقت نفسه بنشر حصان طروادة للوصول عن بُعد (RAT) يعمل عبر منصات متعددة. يعمل هذا البرنامج الخبيث بسلاسة على أنظمة Windows و macOS و Linux، مما يُشكّل خطراً كبيراً على الأنظمة المُصابة.

تشمل الحزم المحددة ما يلي:

• nhattuanbl/lara-helper (37 تنزيلًا)
• nhattuanbl/simple-queue (29 تنزيلًا)
• nhattuanbl/lara-swagger (49 تنزيلًا)

على الرغم من أن حزمة nhattuanbl/lara-swagger لا تحتوي بشكل مباشر على شيفرة خبيثة، إلا أنها تُدرج حزمة nhattuanbl/lara-helper كاعتمادية في Composer، مما يؤدي إلى تثبيت برنامج التحكم عن بُعد المدمج. وعلى الرغم من الكشف العلني عن هذه الحزم، إلا أنها لا تزال متاحة في المستودع، ويجب إزالتها فورًا من أي بيئة متأثرة.

أساليب التمويه تخفي النوايا الخبيثة

يُظهر تحليلٌ مُفصّلٌ للشيفرة أن كلاً من lara-helper و simple-queue يحتويان على ملفٍ باسم src/helper.php مُصمّمٍ للتهرّب من الكشف. يُوظّف هذا البرنامج الخبيث استراتيجيات تمويهٍ مُتقدّمة، تشمل التلاعب بتدفق التحكم، وتشفير أسماء النطاقات وسلاسل الأوامر، وإخفاء مسارات الملفات، وتبديل مُعرّفات المتغيرات والدوال عشوائياً.

تُعقّد هذه التقنيات بشكل كبير عملية التحليل الثابت وتساعد الحمولة الخبيثة على تجاوز مراجعة التعليمات البرمجية التقليدية وأدوات فحص الأمان الآلية.

تتيح بنية القيادة والتحكم السيطرة الكاملة على المضيف

بمجرد تشغيله، يُنشئ برنامج التحكم عن بُعد (RAT) اتصالاً بخادم القيادة والتحكم (C2) على helper.leuleu.net عبر المنفذ 2096. ويرسل بيانات استطلاع النظام ويدخل في حالة استماع مستمرة، بانتظار المزيد من التعليمات. ويتم الاتصال عبر بروتوكول TCP باستخدام دالة stream_socket_client() في لغة PHP.

يدعم الباب الخلفي نطاقًا واسعًا من الأوامر التي يصدرها المشغل، مما يتيح التحكم الكامل في النظام. وتشمل القدرات ما يلي:

• إرسال إشارات نبضات القلب تلقائيًا كل 60 ثانية عبر نظام الإرسال (ping).
• نقل بيانات تعريف النظام عبر المعلومات.
• تنفيذ أوامر النظام (cmd).
• تنفيذ أوامر PowerShell (powershell).
• تنفيذ الأوامر في الخلفية (تشغيل).

لضمان أقصى قدر من الموثوقية، يتحقق برنامج RAT من إعدادات تعطيل وظائف PHP ويختار أول طريقة تنفيذ متاحة من بين الطرق التالية: popen، proc_open، exec، shell_exec، system، أو passthru. يتيح هذا النهج التكيفي تجاوز إجراءات التحصين الشائعة في PHP.

آلية إعادة الاتصال المستمرة تزيد من المخاطر

على الرغم من أن خادم التحكم والسيطرة المحدد غير مستجيب حاليًا، إلا أن البرمجية الخبيثة مُبرمجة لإعادة محاولة الاتصال كل 15 ثانية في حلقة متواصلة. تضمن آلية الاستمرار هذه بقاء الأنظمة المخترقة مكشوفة حتى في حال تمكن المهاجم من استعادة الخادم.

أي تطبيق Laravel قام بتثبيت lara-helper أو simple-queue يعمل فعلياً باستخدام برنامج تجسس RAT مدمج. يحصل المهاجم على وصول كامل إلى واجهة سطر الأوامر عن بُعد، والقدرة على قراءة وتعديل أي ملفات، ورؤية مستمرة لتفاصيل النظام لكل جهاز مصاب.

سياق التنفيذ يعزز التأثير

يتم التنشيط تلقائيًا أثناء بدء تشغيل التطبيق عبر موفر خدمة أو من خلال التحميل التلقائي للفئات في حالة قائمة الانتظار البسيطة. ونتيجة لذلك، يتم تشغيل أداة الوصول عن بُعد (RAT) ضمن نفس عملية تطبيق الويب، وترث أذونات نظام الملفات ومتغيرات البيئة نفسها.

يمنح سياق التنفيذ هذا المهاجم إمكانية الوصول إلى أصول حساسة مثل بيانات اعتماد قواعد البيانات، ومفاتيح واجهة برمجة التطبيقات، ومحتويات ملف .env. وبالتالي، يتجاوز الاختراق مستوى التحكم على مستوى النظام ليكشف بشكل كامل أسرار التطبيق والوصول إلى البنية التحتية.

استراتيجية بناء المصداقية من خلال حزم نظيفة

كشف تحقيق إضافي أن الناشر نفسه أصدر حزمًا إضافية - nhattuanbl/lara-media و nhattuanbl/snooze و nhattuanbl/syslog - لا تحتوي على برمجيات خبيثة. ويبدو أن هذه الحزم تُستخدم كأدوات لبناء سمعة الشركة بهدف زيادة الثقة وتشجيع استخدام الحزم الخبيثة.

تدابير التخفيف والاستجابة الفورية

ينبغي على المؤسسات التي قامت بتثبيت أي من الحزم الخبيثة أن تفترض تعرضها للاختراق. تشمل إجراءات الاستجابة المطلوبة الإزالة الفورية للمكتبات المتأثرة، وتغيير جميع بيانات الاعتماد التي يمكن الوصول إليها من بيئة التطبيق، وإجراء تدقيق شامل لحركة مرور الشبكة الصادرة بحثًا عن محاولات الاتصال بالبنية التحتية المحددة للتحكم والسيطرة.

قد يؤدي عدم الاستجابة بشكل حاسم إلى ترك الأنظمة عرضة لوصول المهاجمين مجدداً إذا أصبحت بنية القيادة والتحكم تعمل مرة أخرى.