قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار بسته‌های مخرب PHP توسط Packagist

بسته‌های مخرب PHP توسط Packagist

تا Mezo در بدافزار
ترجمه به:

تحلیلگران امنیت سایبری بسته‌های مخرب PHP را در Packagist شناسایی کرده‌اند که کتابخانه‌های کمکی قانونی Laravel را جعل هویت می‌کنند و در عین حال مخفیانه یک تروجان دسترسی از راه دور (RAT) چند پلتفرمی را مستقر می‌کنند. این بدافزار به طور یکپارچه در محیط‌های ویندوز، macOS و لینوکس فعالیت می‌کند و خطر قابل توجهی را برای سیستم‌های آسیب‌دیده ایجاد می‌کند.

بسته‌های شناسایی‌شده شامل موارد زیر هستند:

  • nhattuanbl/lara-helper (37 دانلود)
  • nhattuanbl/simple-queue (۲۹ دانلود)
  • nhattuanbl/lara-swagger (۴۹ دانلود)

اگرچه nhattuanbl/lara-swagger مستقیماً حاوی کد مخرب نیست، اما nhattuanbl/lara-helper را به عنوان یک وابستگی Composer فهرست می‌کند که منجر به نصب RAT جاسازی‌شده می‌شود. علیرغم افشای عمومی، این بسته‌ها همچنان در مخزن قابل دسترسی هستند و باید فوراً از هر محیط آسیب‌دیده حذف شوند.

تاکتیک‌های مبهم‌سازی، نیت‌های مخرب را پنهان می‌کنند

تجزیه و تحلیل دقیق کد نشان می‌دهد که هر دو lara-helper و simple-queue حاوی فایلی به نام src/helper.php هستند که برای جلوگیری از شناسایی طراحی شده است. این بدافزار از استراتژی‌های پیشرفته‌ی مبهم‌سازی، از جمله دستکاری جریان کنترل، نام‌های دامنه و رشته‌های فرمان رمزگذاری شده، مسیرهای فایل پنهان و شناسه‌های متغیر و تابع تصادفی استفاده می‌کند.

این تکنیک‌ها به طور قابل توجهی تحلیل استاتیک را پیچیده می‌کنند و به بار داده‌ی مخرب کمک می‌کنند تا ابزارهای بررسی کد مرسوم و اسکن امنیتی خودکار را دور بزند.

زیرساخت فرماندهی و کنترل، امکان تصاحب کامل میزبان را فراهم می‌کند

پس از اجرا، RAT اتصالی را با یک سرور فرمان و کنترل (C2) در helper.leuleu.net روی پورت 2096 برقرار می‌کند. داده‌های شناسایی سیستم را منتقل می‌کند و در حالت گوش دادن مداوم قرار می‌گیرد و منتظر دستورالعمل‌های بیشتر می‌ماند. ارتباط از طریق TCP با استفاده از تابع stream_socket_client() در PHP برقرار می‌شود.

این درِ پشتی از طیف گسترده‌ای از دستورات صادر شده توسط اپراتور پشتیبانی می‌کند و امکان کنترل کامل سیستم را فراهم می‌کند. قابلیت‌های آن عبارتند از:

  • سیگنال‌های ضربان قلب خودکار هر ۶۰ ثانیه از طریق پینگ.
  • انتقال داده‌های پروفایل سیستم از طریق info.
  • اجرای دستورات شل (cmd).
  • اجرای دستورات پاورشل (powershell).
  • اجرای دستور در پس‌زمینه (اجرا).
  • ضبط صفحه نمایش با استفاده از imagegrabscreen() (عکس از صفحه).
  • استخراج فایل (دانلود).
  • آپلود فایل دلخواه با مجوزهای خواندن، نوشتن و اجرا که به همه کاربران اعطا می‌شود (آپلود).
  • قطع اتصال و خروج (توقف).

    • برای به حداکثر رساندن قابلیت اطمینان، RAT پیکربندی PHP disable_functions را بررسی می‌کند و اولین روش اجرای موجود را از بین موارد زیر انتخاب می‌کند: popen، proc_open، exec، shell_exec، system یا passthru. این رویکرد تطبیقی به آن اجازه می‌دهد تا از اقدامات رایج مقاوم‌سازی PHP عبور کند.

    مکانیسم اتصال مجدد مداوم، خطر را افزایش می‌دهد

    اگرچه سرور C2 شناسایی‌شده در حال حاضر پاسخگو نیست، اما این بدافزار طوری برنامه‌ریزی شده است که هر ۱۵ ثانیه یک بار و در یک حلقه‌ی پیوسته، اتصال را دوباره برقرار کند. این مکانیسم پایداری تضمین می‌کند که در صورت بازیابی دسترسی سرور توسط مهاجم، سیستم‌های آسیب‌دیده همچنان در معرض خطر باقی بمانند.

    هر برنامه‌ی لاراول که lara-helper یا simple-queue را نصب کرده باشد، عملاً با یک RAT تعبیه‌شده کار می‌کند. عامل تهدید، دسترسی کامل از راه دور به shell، توانایی خواندن و تغییر فایل‌های دلخواه و مشاهده‌ی مداوم جزئیات سطح سیستم برای هر میزبان آلوده را به دست می‌آورد.

    زمینه اجرا، تأثیر را تقویت می‌کند

    فعال‌سازی به طور خودکار در حین بوت شدن برنامه از طریق یک ارائه‌دهنده خدمات یا از طریق بارگذاری خودکار کلاس در مورد صف ساده رخ می‌دهد. در نتیجه، RAT در همان فرآیند برنامه وب اجرا می‌شود و مجوزهای سیستم فایل و متغیرهای محیطی یکسانی را به ارث می‌برد.

    این زمینه اجرایی به مهاجم امکان دسترسی به دارایی‌های حساس مانند اعتبارنامه‌های پایگاه داده، کلیدهای API و محتویات فایل .env را می‌دهد. بنابراین، این نفوذ فراتر از کنترل سطح سیستم، به افشای کامل اسرار برنامه و دسترسی به زیرساخت‌ها گسترش می‌یابد.

    استراتژی اعتبارسازی از طریق بسته‌های تمیز

    تحقیقات بیشتر نشان می‌دهد که همان ناشر بسته‌های اضافی - nhattuanbl/lara-media، nhattuanbl/snooze و nhattuanbl/syslog - را منتشر کرده است که حاوی کد مخرب نیستند. به نظر می‌رسد این‌ها به عنوان مصنوعات ایجاد شهرت عمل می‌کنند که برای افزایش اعتماد و تشویق به پذیرش بسته‌های مخرب طراحی شده‌اند.

    اقدامات کاهش و واکنش فوری

    سازمان‌هایی که هر یک از بسته‌های مخرب را نصب کرده‌اند، باید فرض را بر نفوذ قرار دهند. اقدامات لازم برای واکنش شامل حذف فوری کتابخانه‌های آسیب‌دیده، تغییر تمام اعتبارنامه‌های قابل دسترسی از محیط برنامه و بررسی کامل ترافیک شبکه خروجی برای یافتن اتصالات تلاش‌شده به زیرساخت C2 شناسایی‌شده است.

    عدم پاسخگویی قاطع، در صورت عملیاتی شدن مجدد زیرساخت‌های فرماندهی و کنترل، ممکن است سیستم‌ها را در برابر دسترسی مجدد مهاجمان آسیب‌پذیر کند.

    پرطرفدار

    پربیننده ترین

    بد افزار

    فیشینگ, هرزنامه
    23,084
    پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
    بارگذاری...