Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Paquets PHP de paquets maliciosos

Paquets PHP de paquets maliciosos

El Mezo el Programari maliciós
Traduir a:

Analistes de ciberseguretat han identificat paquets PHP maliciosos a Packagist que suplanten biblioteques auxiliars legítimes de Laravel mentre implementen de manera encoberta un troià d'accés remot (RAT) multiplataforma. El programari maliciós funciona perfectament en entorns Windows, macOS i Linux, creant un risc significatiu per als sistemes afectats.

Els paquets identificats inclouen:

  • nhattuanbl/lara-helper (37 descàrregues)
  • nhattuanbl/simple-queue (29 descàrregues)
  • nhattuanbl/lara-swagger (49 descàrregues)

Tot i que nhattuanbl/lara-swagger no conté directament codi maliciós, llista nhattuanbl/lara-helper com una dependència del Composer, cosa que provoca la instal·lació del RAT integrat. Malgrat la seva divulgació pública, aquests paquets continuen sent accessibles al repositori i s'han d'eliminar immediatament de qualsevol entorn afectat.

Les tàctiques d’ofuscació amaguen intencions malicioses

Una anàlisi detallada del codi mostra que tant lara-helper com simple-queue contenen un fitxer anomenat src/helper.php dissenyat per evadir la detecció. El programari maliciós incorpora estratègies avançades d'ofuscació, com ara la manipulació del flux de control, noms de domini i cadenes d'ordres codificades, rutes d'arxius ocultes i identificadors de variables i funcions aleatòries.

Aquestes tècniques compliquen significativament l'anàlisi estàtica i ajuden a la càrrega útil maliciosa a evitar les eines convencionals de revisió de codi i d'escaneig de seguretat automatitzat.

La infraestructura de comandament i control permet la presa de control completa de l’amfitrió

Un cop executat, el RAT estableix una connexió amb un servidor de comandament i control (C2) a helper.leuleu.net al port 2096. Transmet dades de reconeixement del sistema i entra en un estat d'escolta persistent, esperant més instruccions. La comunicació es produeix a través de TCP mitjançant la funció stream_socket_client() de PHP.

La porta del darrere admet una àmplia gamma d'ordres emeses per l'operador, cosa que permet un control total del sistema. Les capacitats inclouen:

  • Senyals de batec del cor automatitzats cada 60 segons via ping.
  • Transmissió de dades de perfils del sistema a través d'info.
  • Execució d'ordres de shell (cmd).
  • Execució d'ordres de PowerShell (powershell).
  • Execució d'ordres en segon pla (executar).
  • Captura de pantalla amb imagegrabscreen() (screenshot).
  • Exfiltració de fitxers (descàrrega).
  • Càrrega arbitrària de fitxers amb permisos de lectura, escriptura i execució atorgats a tots els usuaris (càrrega).
  • Finalització de la connexió i sortida (aturada).

Per maximitzar la fiabilitat, el RAT comprova la configuració de disable_functions de PHP i selecciona el primer mètode d'execució disponible dels següents: popen, proc_open, exec, shell_exec, system o passthru. Aquest enfocament adaptatiu li permet evitar les mesures habituals d'enduriment de PHP.

El mecanisme de reconnexió persistent augmenta el risc

Tot i que el servidor C2 identificat actualment no respon, el programari maliciós està programat per reintentar connexions cada 15 segons en un bucle continu. Aquest mecanisme de persistència garanteix que els sistemes compromesos romanguin exposats si l'atacant restaura la disponibilitat del servidor.

Qualsevol aplicació de Laravel que hagi instal·lat lara-helper o simple-queue funciona de manera efectiva amb un RAT integrat. L'actor d'amenaces obté accés remot complet al shell, la capacitat de llegir i modificar fitxers arbitraris i una visibilitat contínua dels detalls a nivell de sistema per a cada host infectat.

El context d’execució amplifica l’impacte

L'activació es produeix automàticament durant l'arrencada de l'aplicació a través d'un proveïdor de serveis o mitjançant la càrrega automàtica de classes en el cas de la cua simple. Com a resultat, el RAT s'executa dins del mateix procés que l'aplicació web, heretant permisos del sistema de fitxers i variables d'entorn idèntics.

Aquest context d'execució atorga a l'atacant accés a actius sensibles com ara credencials de base de dades, claus API i contingut del fitxer .env. Per tant, el compromís s'estén més enllà del control a nivell de sistema fins a l'exposició completa dels secrets de l'aplicació i l'accés a la infraestructura.

Estratègia de creació de credibilitat mitjançant paquets nets

Una investigació més detallada revela que el mateix editor va publicar paquets addicionals (nhattuanbl/lara-media, nhattuanbl/snooze i nhattuanbl/syslog) que no contenen codi maliciós. Aquests semblen servir com a artefactes de creació de reputació dissenyats per augmentar la confiança i fomentar l'adopció dels paquets convertits en armes.

Mesures de mitigació i resposta immediates

Les organitzacions que hagin instal·lat qualsevol dels paquets maliciosos haurien de presumir que la seguretat s'ha compromès. Les accions de resposta necessàries inclouen l'eliminació immediata de les biblioteques afectades, la rotació de totes les credencials accessibles des de l'entorn de l'aplicació i una auditoria exhaustiva del trànsit de xarxa sortint per a intents de connexió a la infraestructura C2 identificada.

Si no es respon amb decisió, els sistemes poden ser vulnerables a un nou accés d'atacants si la infraestructura de comandament i control torna a ser operativa.

Tendència

Més vist

Carregant...