Rabattilbud med flere licenser
Trusseldatabase Malware Ondsindede Packagist PHP-pakker

Ondsindede Packagist PHP-pakker

Med Mezo i Malware
Oversæt til:

Cybersikkerhedsanalytikere har identificeret ondsindede PHP-pakker på Packagist, der udgiver sig for at være legitime Laravel-hjælpebiblioteker, mens de i hemmelighed implementerer en platformsuafhængig fjernadgangstrojaner (RAT). Malwaren fungerer problemfrit på tværs af Windows-, macOS- og Linux-miljøer, hvilket skaber en betydelig risiko for berørte systemer.

De identificerede pakker omfatter:

  • nhattuanbl/lara-helper (37 downloads)
  • nhattuanbl/simple-queue (29 downloads)
  • nhattuanbl/lara-swagger (49 downloads)

Selvom nhattuanbl/lara-swagger ikke direkte indeholder skadelig kode, angiver den nhattuanbl/lara-helper som en Composer-afhængighed, hvilket resulterer i installationen af den indlejrede RAT. Trods offentliggørelse forbliver disse pakker tilgængelige i arkivet og bør fjernes øjeblikkeligt fra ethvert berørt miljø.

Tilsløringstaktikker skjuler ondsindede hensigter

Detaljeret kodeanalyse viser, at både lara-helper og simple-queue indeholder en fil med navnet src/helper.php, der er konstrueret til at undgå detektion. Malwaren inkorporerer avancerede obfuskationsstrategier, herunder manipulation af kontrolflow, kodede domænenavne og kommandostrenge, skjulte filstier og randomiserede variabel- og funktionsidentifikatorer.

Disse teknikker komplicerer statisk analyse betydeligt og hjælper den ondsindede nyttelast med at omgå konventionelle kodegennemgang og automatiserede sikkerhedsscanningsværktøjer.

Kommando- og kontrolinfrastruktur muliggør fuld værtsovertagelse

Når den er udført, opretter RAT'en en forbindelse til en kommando-og-kontrol (C2) server på helper.leuleu.net på port 2096. Den transmitterer systemrekognosceringsdata og går i en vedvarende lyttetilstand, hvor den afventer yderligere instruktioner. Kommunikation sker via TCP ved hjælp af PHP's stream_socket_client() funktion.

Bagdøren understøtter en bred vifte af operatørudstedte kommandoer, hvilket muliggør fuld systemkontrol. Funktionerne omfatter:

  • Automatiske hjerteslagsignaler hvert 60. sekund via ping.
  • Overførsel af systemprofileringsdata via info.
  • Udførelse af shell-kommando (cmd).
  • Udførelse af PowerShell-kommando (Powershell).
  • Udførelse af baggrundskommando (kørsel).
  • Skærmbillede ved hjælp af imagegrabscreen() (skærmbillede).
  • Filudvinding (download).
  • Vilkårlig filupload med læse-, skrive- og udførelsestilladelser givet til alle brugere (upload).
  • Forbindelsesafslutning og afslutning (stop).

For at maksimere pålideligheden kontrollerer RAT PHP disable_functions-konfigurationen og vælger den første tilgængelige udførelsesmetode fra følgende: popen, proc_open, exec, shell_exec, system eller passthru. Denne adaptive tilgang gør det muligt at omgå almindelige PHP-hærdningsforanstaltninger.

Vedvarende genforbindelsesmekanisme øger risikoen

Selvom den identificerede C2-server i øjeblikket ikke reagerer, er malwaren programmeret til at forsøge at oprette forbindelse hvert 15. sekund i en kontinuerlig løkke. Denne vedholdenhedsmekanisme sikrer, at kompromitterede systemer forbliver eksponerede, hvis angriberen genopretter serverens tilgængelighed.

Enhver Laravel-applikation, der har installeret lara-helper eller simple-queue, kører effektivt med en indlejret RAT. Trusselsaktøren får fuld fjernadgang til shells, muligheden for at læse og ændre vilkårlige filer og kontinuerlig indsigt i systemniveaudetaljer for hver inficeret vært.

Eksekveringskontekst forstærker effekten

Aktivering sker automatisk under applikationsopstart via en tjenesteudbyder eller via automatisk indlæsning af klasser i tilfælde af simple-queue. Som et resultat udføres RAT'en i den samme proces som webapplikationen og arver identiske filsystemtilladelser og miljøvariabler.

Denne udførelseskontekst giver angriberen adgang til følsomme aktiver såsom databaseoplysninger, API-nøgler og indholdet af .env-filen. Kompromitteringen rækker derfor ud over systemniveaukontrol til fuld eksponering af applikationshemmeligheder og adgang til infrastruktur.

Troværdighedsskabende strategi gennem rene pakker

Yderligere undersøgelser afslører, at den samme udgiver har udgivet yderligere pakker - nhattuanbl/lara-media, nhattuanbl/snooze og nhattuanbl/syslog - som ikke indeholder skadelig kode. Disse ser ud til at fungere som omdømmeopbyggende artefakter designet til at øge tilliden og fremme adoptionen af de bevæbnede pakker.

Øjeblikkelige afbødende og responsforanstaltninger

Organisationer, der har installeret nogen af de skadelige pakker, bør formode, at de er kompromitteret. Nødvendige handlinger omfatter øjeblikkelig fjernelse af de berørte biblioteker, rotation af alle legitimationsoplysninger, der er tilgængelige fra applikationsmiljøet, og en grundig revision af udgående netværkstrafik for forsøg på forbindelse til den identificerede C2-infrastruktur.

Manglende beslutsomhed kan gøre systemer sårbare over for fornyet angriberadgang, hvis kommando- og kontrolinfrastrukturen bliver operationel igen.

Trending

Mest sete

Indlæser...