Slevová nabídka pro více licencí
Databáze hrozeb Malware Škodlivý PHP balíček Packagist

Škodlivý PHP balíček Packagist

V roce Mezo v roce Malware
Přeložit do:

Analytici kybernetické bezpečnosti identifikovali na Packagistu škodlivé balíčky PHP, které se vydávají za legitimní pomocné knihovny Laravelu a zároveň skrytě nasazují multiplatformního trojského koně pro vzdálený přístup (RAT). Malware funguje bezproblémově v prostředích Windows, macOS a Linux, což představuje značné riziko pro postižené systémy.

Mezi identifikované balíčky patří:

  • nhattuanbl/lara-helper (37 stažení)
  • nhattuanbl/simple-queue (29 stažení)
  • nhattuanbl/lara-swagger (49 stažení)

Ačkoli nhattuanbl/lara-swagger přímo neobsahuje škodlivý kód, uvádí nhattuanbl/lara-helper jako závislost Composeru, což vede k instalaci vloženého RAT. Navzdory veřejnému zveřejnění zůstávají tyto balíčky v repozitáři dostupné a měly by být okamžitě odstraněny z jakéhokoli dotčeného prostředí.

Taktiky zamlžování zakrývají zlý úmysl

Detailní analýza kódu ukazuje, že jak lara-helper, tak simple-queue obsahují soubor s názvem src/helper.php, který je navržen tak, aby se vyhnul detekci. Malware využívá pokročilé strategie zamlžování, včetně manipulace s řídicím tokem, kódovaných názvů domén a řetězců příkazů, skrytých cest k souborům a náhodných identifikátorů proměnných a funkcí.

Tyto techniky výrazně komplikují statickou analýzu a pomáhají škodlivému obsahu obejít konvenční nástroje pro kontrolu kódu a automatizované nástroje pro bezpečnostní skenování.

Infrastruktura velení a řízení umožňuje úplné převzetí kontroly nad hostitelem

Po spuštění se RAT připojí k velitelskému a řídícímu (C2) serveru na adrese helper.leuleu.net na portu 2096. Přenese data z průzkumu systému a přejde do stavu trvalého naslouchání, kde čeká na další instrukce. Komunikace probíhá přes TCP pomocí funkce stream_socket_client() v PHP.

Zadní vrátka podporují širokou škálu příkazů vydávaných operátorem, což umožňuje plnou kontrolu nad systémem. Mezi jejich funkce patří:

  • Automatický prezenční signál odesílá každých 60 sekund pomocí příkazu ping.
  • Přenos dat profilování systému prostřednictvím informací.
  • Spuštění příkazu shellu (cmd).
  • Spuštění příkazu PowerShellu (PowerShell).
  • Provádění příkazů na pozadí (run).
  • Snímek obrazovky pomocí imagegrabscreen() (snímek obrazovky).
  • Exfiltrace souborů (stažení).
  • Nahrávání libovolných souborů s oprávněními pro čtení, zápis a spuštění udělenými všem uživatelům (nahrávání).
  • Ukončení a ukončení spojení (stop).

Pro maximalizaci spolehlivosti RAT kontroluje konfiguraci disable_functions v PHP a vybírá první dostupnou metodu spuštění z následujících: popen, proc_open, exec, shell_exec, system nebo passthru. Tento adaptivní přístup umožňuje obejít běžná opatření k posílení ochrany PHP.

Mechanismus trvalého opětovného připojení zvyšuje riziko

Přestože identifikovaný server C2 momentálně nereaguje, malware je naprogramován tak, aby se pokoušel o připojení každých 15 sekund v nepřetržité smyčce. Tento mechanismus perzistence zajišťuje, že napadené systémy zůstanou odhalené, pokud útočník obnoví dostupnost serveru.

Jakákoli aplikace Laravelu, která má nainstalovaný lara-helper nebo simple-queue, efektivně pracuje s vestavěným RAT. Útočník získává plný vzdálený přístup k shellu, možnost číst a upravovat libovolné soubory a nepřetržitý přehled o podrobnostech na úrovni systému pro každý infikovaný hostitel.

Kontext provedení zesiluje dopad

Aktivace probíhá automaticky během spouštění aplikace prostřednictvím poskytovatele služeb nebo prostřednictvím automatického načítání tříd v případě simple-queue. V důsledku toho se RAT spouští ve stejném procesu jako webová aplikace a dědí shodná oprávnění souborového systému a proměnné prostředí.

Tento kontext spuštění poskytuje útočníkovi přístup k citlivým datům, jako jsou přihlašovací údaje k databázi, klíče API a obsah souboru .env. Kompromitace se tak rozšiřuje nad rámec kontroly na úrovni systému a zahrnuje úplné odhalení tajných dat aplikací a přístup k infrastruktuře.

Strategie budování důvěryhodnosti prostřednictvím čistých balíčků

Další vyšetřování odhalilo, že tentýž vydavatel vydal další balíčky – nhattuanbl/lara-media, nhattuanbl/snooze a nhattuanbl/syslog – které neobsahují škodlivý kód. Zdá se, že slouží jako artefakty budující reputaci, jejichž cílem je zvýšit důvěru a povzbudit k přijetí těchto zbraní chráněných balíčků.

Okamžitá zmírňující a reakční opatření

Organizace, které nainstalovaly některý ze škodlivých balíčků, by měly předpokládat kompromitaci. Mezi požadované reakce patří okamžité odstranění postižených knihoven, rotace všech přihlašovacích údajů přístupných z aplikačního prostředí a důkladný audit odchozího síťového provozu z hlediska pokusů o připojení k identifikované infrastruktuře C2.

Pokud se nereaguje rozhodně, mohou být systémy zranitelné vůči obnovenému přístupu útočníků, pokud se infrastruktura velení a řízení znovu uvede do provozu.

Trendy

Nejvíce shlédnuto

Načítání...