Злонамерени PHP пакети за пакетиране
Анализатори по киберсигурност са идентифицирали злонамерени PHP пакети в Packagist, които се представят за легитимни помощни библиотеки на Laravel, като същевременно тайно внедряват кросплатформен троянски кон за отдалечен достъп (RAT). Злонамереният софтуер работи безпроблемно в среди на Windows, macOS и Linux, създавайки значителен риск за засегнатите системи.
Идентифицираните пакети включват:
- nhattuanbl/lara-helper (37 изтегляния)
- nhattuanbl/simple-queue (29 изтегляния)
- nhattuanbl/lara-swagger (49 изтегляния)
Въпреки че nhattuanbl/lara-swagger не съдържа директно злонамерен код, той посочва nhattuanbl/lara-helper като зависимост от Composer, което води до инсталиране на вградения RAT. Въпреки публичното разкриване, тези пакети остават достъпни в хранилището и трябва да бъдат незабавно премахнати от всяка засегната среда.
Съдържание
Тактики за замъгляване прикриват злонамерено намерение
Детайлният анализ на кода показва, че както lara-helper, така и simple-queue съдържат файл с име src/helper.php, проектиран да избегне откриване. Зловредният софтуер включва усъвършенствани стратегии за обфускация, включително манипулиране на контролния поток, кодирани имена на домейни и командни низове, скрити файлови пътища и рандомизирани идентификатори на променливи и функции.
Тези техники значително усложняват статичния анализ и помагат на злонамерения полезен товар да заобиколи конвенционалния преглед на кода и автоматизираните инструменти за сканиране за сигурност.
Инфраструктурата за командване и контрол позволява пълно поемане на контрол над хоста
След изпълнение, RAT установява връзка със сървър за командно-контролен (C2) сървър на helper.leuleu.net на порт 2096. Той предава данни от системното разузнаване и влиза в състояние на постоянно слушане, очаквайки допълнителни инструкции. Комуникацията се осъществява през TCP, използвайки функцията stream_socket_client() на PHP.
Задната вратичка поддържа широк набор от команди, издавани от оператор, което позволява пълен контрол над системата. Възможностите включват:
- Автоматизирани сърдечни сигнали на всеки 60 секунди чрез ping.
- Предаване на данни за системно профилиране чрез info.
- Изпълнение на команда от обвивката (cmd).
- Изпълнение на PowerShell команда (powershell).
- Изпълнение на команди във фонов режим (run).
- Заснемане на екрана с помощта на imagegrabscreen() (снимка на екрана).
- Извличане на файлове (изтегляне).
- Качване на произволни файлове с разрешения за четене, запис и изпълнение, предоставени на всички потребители (качване).
- Прекратяване на връзката и излизане (стоп).
За да увеличи максимално надеждността, RAT проверява конфигурацията на PHP disable_functions и избира първия наличен метод за изпълнение от следните: popen, proc_open, exec, shell_exec, system или passthru. Този адаптивен подход му позволява да заобиколи обичайните мерки за защита на PHP.
Механизмът за постоянно повторно свързване увеличава риска
Въпреки че идентифицираният C2 сървър в момента не реагира, зловредният софтуер е програмиран да прави опити за повторно свързване на всеки 15 секунди в непрекъснат цикъл. Този механизъм за постоянство гарантира, че компрометираните системи остават незащитени, в случай че атакуващият възстанови достъпността на сървъра.
Всяко Laravel приложение, което е инсталирало lara-helper или simple-queue, ефективно работи с вграден RAT. Злонамереният злонамерен агент получава пълен достъп до отдалечена обвивка, възможност за четене и промяна на произволни файлове и непрекъсната видимост на системни детайли за всеки заразен хост.
Контекстът на изпълнение усилва въздействието
Активирането се извършва автоматично по време на зареждане на приложението чрез доставчик на услуги или чрез автоматично зареждане на класове в случай на simple-queue. В резултат на това RAT се изпълнява в рамките на същия процес като уеб приложението, наследявайки идентични разрешения на файловата система и променливи на средата.
Този контекст на изпълнение предоставя на атакуващия достъп до чувствителни ресурси, като например идентификационни данни за базата данни, API ключове и съдържанието на .env файла. Следователно компрометирането се простира отвъд контрола на системно ниво до пълно разкриване на тайните на приложенията и достъп до инфраструктурата.
Стратегия за изграждане на доверие чрез изчистени пакети
По-нататъшно разследване разкрива, че същият издател е пуснал допълнителни пакети - nhattuanbl/lara-media, nhattuanbl/snooze и nhattuanbl/syslog - които не съдържат злонамерен код. Изглежда, че те служат като артефакти за изграждане на репутация, предназначени да увеличат доверието и да насърчат приемането на пакетите, използвани като оръжие.
Незабавни мерки за смекчаване и реагиране
Организациите, които са инсталирали някой от злонамерените пакети, трябва да предположат, че е налице компрометиране. Необходимите действия за реагиране включват незабавно премахване на засегнатите библиотеки, ротация на всички идентификационни данни, достъпни от приложната среда, и щателен одит на изходящия мрежов трафик за опити за свързване с идентифицираната C2 инфраструктура.
Липсата на решителен отговор може да направи системите уязвими за подновен достъп на атакуващите, ако инфраструктурата за командване и контрол отново заработи.
