ক্ষতিকারক প্যাকেজিস্ট পিএইচপি প্যাকেজ
সাইবার নিরাপত্তা বিশ্লেষকরা প্যাকাজিস্টে ক্ষতিকারক PHP প্যাকেজগুলি সনাক্ত করেছেন যা বৈধ লারাভেল হেল্পার লাইব্রেরির ছদ্মবেশ ধারণ করে এবং গোপনে ক্রস-প্ল্যাটফর্ম রিমোট অ্যাক্সেস ট্রোজান (RAT) স্থাপন করে। ম্যালওয়্যারটি উইন্ডোজ, ম্যাকওএস এবং লিনাক্স পরিবেশে নির্বিঘ্নে কাজ করে, যা প্রভাবিত সিস্টেমগুলির জন্য উল্লেখযোগ্য ঝুঁকি তৈরি করে।
চিহ্নিত প্যাকেজগুলির মধ্যে রয়েছে:
- nhattuanbl/lara-helper (৩৭টি ডাউনলোড)
- nhattuanbl/simple-queue (২৯টি ডাউনলোড)
- nhattuanbl/lara-swagger (৪৯টি ডাউনলোড)
যদিও nhattuanbl/lara-swagger-এ সরাসরি ক্ষতিকারক কোড থাকে না, এটি nhattuanbl/lara-helper-কে একটি Composer নির্ভরতা হিসাবে তালিকাভুক্ত করে, যার ফলে এমবেডেড RAT ইনস্টল করা হয়। জনসাধারণের কাছে প্রকাশ করা সত্ত্বেও, এই প্যাকেজগুলি সংগ্রহস্থলে অ্যাক্সেসযোগ্য থাকে এবং যেকোনো প্রভাবিত পরিবেশ থেকে অবিলম্বে অপসারণ করা উচিত।
সুচিপত্র
অস্পষ্ট কৌশল দূষিত উদ্দেশ্য গোপন করে
বিস্তারিত কোড বিশ্লেষণে দেখা যায় যে, লারা-হেল্পার এবং সিম্পল-কিউ উভয়ের মধ্যেই src/helper.php নামের একটি ফাইল রয়েছে যা সনাক্তকরণ এড়াতে তৈরি করা হয়েছে। ম্যালওয়্যারটিতে উন্নত অস্পষ্টতা কৌশল অন্তর্ভুক্ত রয়েছে, যার মধ্যে রয়েছে নিয়ন্ত্রণ প্রবাহ ম্যানিপুলেশন, এনকোডেড ডোমেন নাম এবং কমান্ড স্ট্রিং, গোপন ফাইল পাথ এবং র্যান্ডমাইজড ভেরিয়েবল এবং ফাংশন শনাক্তকারী।
এই কৌশলগুলি স্ট্যাটিক বিশ্লেষণকে উল্লেখযোগ্যভাবে জটিল করে তোলে এবং দূষিত পেলোডকে প্রচলিত কোড পর্যালোচনা এবং স্বয়ংক্রিয় সুরক্ষা স্ক্যানিং সরঞ্জামগুলিকে বাইপাস করতে সহায়তা করে।
কমান্ড-এন্ড-কন্ট্রোল অবকাঠামো সম্পূর্ণ হোস্ট টেকওভার সক্ষম করে
একবার কার্যকর করা হলে, RAT 2096 পোর্টে helper.leuleu.net-এ একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে একটি সংযোগ স্থাপন করে। এটি সিস্টেম রিকনেসান্স ডেটা প্রেরণ করে এবং পরবর্তী নির্দেশাবলীর অপেক্ষায় একটি স্থায়ী শোনার অবস্থায় প্রবেশ করে। PHP-এর stream_socket_client() ফাংশন ব্যবহার করে TCP-এর মাধ্যমে যোগাযোগ ঘটে।
ব্যাকডোরটি অপারেটর-প্রদত্ত বিস্তৃত কমান্ড সমর্থন করে, যা সম্পূর্ণ সিস্টেম নিয়ন্ত্রণ সক্ষম করে। ক্ষমতাগুলির মধ্যে রয়েছে:
- পিংয়ের মাধ্যমে প্রতি ৬০ সেকেন্ডে স্বয়ংক্রিয় হৃদস্পন্দনের সংকেত।
- তথ্যের মাধ্যমে সিস্টেম প্রোফাইলিং ডেটা ট্রান্সমিশন।
- শেল কমান্ড এক্সিকিউশন (cmd)।
- পাওয়ারশেল কমান্ড এক্সিকিউশন (পাওয়ারশেল)।
- পটভূমি কমান্ড কার্যকরকরণ (চালান)।
- imagegrabscreen() (স্ক্রিনশট) ব্যবহার করে স্ক্রিন ক্যাপচার।
- ফাইল এক্সফিল্ট্রেশন (ডাউনলোড)।
- সকল ব্যবহারকারীকে (আপলোড) দেওয়া পড়ার, লেখার এবং কার্যকর করার অনুমতি সহ ইচ্ছামত ফাইল আপলোড।
- সংযোগ সমাপ্তি এবং প্রস্থান (থামুন)।
নির্ভরযোগ্যতা সর্বাধিক করার জন্য, RAT PHP disable_functions কনফিগারেশন পরীক্ষা করে এবং নিম্নলিখিতগুলি থেকে প্রথম উপলব্ধ এক্সিকিউশন পদ্ধতি নির্বাচন করে: popen, proc_open, exec, shell_exec, system, অথবা passthru। এই অভিযোজিত পদ্ধতিটি এটিকে সাধারণ PHP শক্তকরণ পরিমাপগুলিকে বাইপাস করার অনুমতি দেয়।
স্থায়ী পুনঃসংযোগ প্রক্রিয়া ঝুঁকি বাড়ায়
যদিও চিহ্নিত C2 সার্ভারটি বর্তমানে প্রতিক্রিয়াশীল নয়, ম্যালওয়্যারটি প্রতি 15 সেকেন্ডে একটি অবিচ্ছিন্ন লুপে সংযোগ পুনরায় চেষ্টা করার জন্য প্রোগ্রাম করা হয়েছে। এই স্থায়িত্ব ব্যবস্থা নিশ্চিত করে যে আক্রমণকারী সার্ভারের উপলব্ধতা পুনরুদ্ধার করলে ক্ষতিগ্রস্ত সিস্টেমগুলি উন্মুক্ত থাকে।
যেকোনো Laravel অ্যাপ্লিকেশন যেখানে lara-helper অথবা simple-queue ইনস্টল করা আছে, তারা একটি এমবেডেড RAT ব্যবহার করে কার্যকরভাবে কাজ করছে। হুমকির কারণ হিসেবে ব্যবহৃত এই অ্যাপ্লিকেশনটি সম্পূর্ণ রিমোট শেল অ্যাক্সেস, ইচ্ছামত ফাইল পড়ার এবং পরিবর্তন করার ক্ষমতা এবং প্রতিটি সংক্রামিত হোস্টের জন্য সিস্টেম-স্তরের বিবরণে অবিচ্ছিন্ন দৃশ্যমানতা লাভ করে।
কার্যকরকরণ প্রেক্ষাপট প্রভাব বৃদ্ধি করে
অ্যাপ্লিকেশন বুট করার সময় পরিষেবা প্রদানকারীর মাধ্যমে অথবা সিম্পল-কিউর ক্ষেত্রে ক্লাস অটোলোডিংয়ের মাধ্যমে স্বয়ংক্রিয়ভাবে অ্যাক্টিভেশন ঘটে। ফলস্বরূপ, RAT ওয়েব অ্যাপ্লিকেশনের মতো একই প্রক্রিয়ার মধ্যে কার্যকর হয়, একই ফাইল সিস্টেম অনুমতি এবং পরিবেশ ভেরিয়েবল উত্তরাধিকারসূত্রে পায়।
এই এক্সিকিউশন কনটেক্সট আক্রমণকারীকে ডাটাবেস শংসাপত্র, API কী এবং .env ফাইলের বিষয়বস্তুর মতো সংবেদনশীল সম্পদগুলিতে অ্যাক্সেস দেয়। অতএব, আপসটি সিস্টেম-স্তরের নিয়ন্ত্রণের বাইরে অ্যাপ্লিকেশন গোপনীয়তা এবং অবকাঠামো অ্যাক্সেসের সম্পূর্ণ প্রকাশ পর্যন্ত প্রসারিত হয়।
পরিষ্কার প্যাকেজের মাধ্যমে বিশ্বাসযোগ্যতা তৈরির কৌশল
আরও তদন্তে জানা যায় যে একই প্রকাশক অতিরিক্ত প্যাকেজ প্রকাশ করেছে - nhattuanbl/lara-media, nhattuanbl/snooze, এবং nhattuanbl/syslog - যেগুলিতে কোনও ক্ষতিকারক কোড নেই। এগুলি বিশ্বাস বৃদ্ধি এবং অস্ত্রযুক্ত প্যাকেজ গ্রহণকে উৎসাহিত করার জন্য ডিজাইন করা খ্যাতি-নির্মাণকারী শিল্পকর্ম হিসাবে কাজ করে বলে মনে হচ্ছে।
তাৎক্ষণিক প্রশমন এবং প্রতিক্রিয়া ব্যবস্থা
যেসব প্রতিষ্ঠান ক্ষতিকারক প্যাকেজ ইনস্টল করেছে তাদের আপস করা উচিত বলে ধরে নেওয়া উচিত। প্রয়োজনীয় প্রতিক্রিয়ামূলক পদক্ষেপের মধ্যে রয়েছে প্রভাবিত লাইব্রেরিগুলি অবিলম্বে অপসারণ করা, অ্যাপ্লিকেশন পরিবেশ থেকে অ্যাক্সেসযোগ্য সমস্ত শংসাপত্রের ঘূর্ণন এবং চিহ্নিত C2 অবকাঠামোতে সংযোগের চেষ্টার জন্য বহির্গামী নেটওয়ার্ক ট্র্যাফিকের পুঙ্খানুপুঙ্খ নিরীক্ষা।
যদি কমান্ড-এন্ড-কন্ট্রোল অবকাঠামো আবার কার্যকর হয়, তাহলে সিদ্ধান্তমূলকভাবে সাড়া দিতে ব্যর্থ হলে সিস্টেমগুলি আক্রমণকারীদের নতুন অ্যাক্সেসের ঝুঁকিতে পড়তে পারে।
