Haitalliset Packagist PHP-paketit

Vuonna Mezo vuonna Haittaohjelma

Käännä:

Kyberturvallisuusanalyytikot ovat tunnistaneet Packagist-sivustolla haitallisia PHP-paketteja, jotka jäljittelevät laillisia Laravel-apukirjastoja ja käyttävät samalla salaa monialustaista etäkäyttötroijalaista (RAT). Haittaohjelma toimii saumattomasti Windows-, macOS- ja Linux-ympäristöissä, mikä aiheuttaa merkittävän riskin tartunnan saaneille järjestelmille.

Tunnistetut paketit sisältävät:

nhattuanbl/lara-helper (37 latausta)
nhattuanbl/simple-queue (29 latausta)
nhattuanbl/lara-swagger (49 latausta)

Vaikka nhattuanbl/lara-swagger ei sisällä suoraan haitallista koodia, se listaa nhattuanbl/lara-helperin Composer-riippuvuutena, mikä johtaa upotetun RAT-haavoittuvuuden asentamiseen. Julkisesta tiedotteesta huolimatta nämä paketit ovat edelleen saatavilla arkistossa ja ne tulisi poistaa välittömästi kaikista haavoittuvuudesta kärsivistä ympäristöistä.

Sisällysluettelo

Hämärtämistaktiikat peittävät pahantahtoiset aikomukset

Yksityiskohtainen koodianalyysi osoittaa, että sekä lara-helper että simple-queue sisältävät tiedoston nimeltä src/helper.php, joka on suunniteltu välttämään havaitsemista. Haittaohjelma sisältää edistyneitä hämärrystekniikoita, kuten ohjausvirran manipulointia, koodattuja verkkotunnuksia ja komentoja, piilotettuja tiedostopolkuja sekä satunnaistettujen muuttujien ja funktioiden tunnisteita.

Nämä tekniikat monimutkaistavat merkittävästi staattista analyysia ja auttavat haitallista hyötykuormaa ohittamaan perinteiset koodin tarkistukset ja automatisoidut tietoturvaskannaustyökalut.

Komento- ja ohjausinfrastruktuuri mahdollistaa isännän täyden haltuunoton

Suoritettuaan RAT muodostaa yhteyden komento- ja ohjauspalvelimeen (C2) osoitteessa helper.leuleu.net porttiin 2096. Se lähettää järjestelmän tiedusteludataa ja siirtyy pysyvään kuuntelutilaan odottaen lisäohjeita. Kommunikointi tapahtuu TCP:n kautta käyttäen PHP:n stream_socket_client()-funktiota.

Takaovi tukee laajaa valikoimaa käyttäjän antamia komentoja, mikä mahdollistaa täyden järjestelmän hallinnan. Ominaisuuksiin kuuluvat:

Automaattiset sykesignaalit 60 sekunnin välein ping-komennolla.
Järjestelmän profilointitietojen siirtäminen info.:n kautta.
Shell-komennon suoritus (cmd).
PowerShell-komennon suoritus (PowerShell).
Komennon suorittaminen taustalla (run).
Kuvakaappaus imagegrabscreen():illa (kuvakaappaus).

Tiedostojen vuotaminen (lataus).

Satunnainen tiedoston lataus, jossa kaikille käyttäjille on luku-, kirjoitus- ja suoritusoikeudet (lataus).

Yhteyden katkaiseminen ja poistuminen (pysäytys).

Luotettavuuden maksimoimiseksi RAT tarkistaa PHP:n disable_functions-määritykset ja valitsee ensimmäisen käytettävissä olevan suoritusmenetelmän seuraavista: popen, proc_open, exec, shell_exec, system tai passthru. Tämä mukautuva lähestymistapa mahdollistaa yleisten PHP:n suojausmenetelmien ohittamisen.

Pysyvä uudelleenyhdistämismekanismi lisää riskiä

Vaikka tunnistettu C2-palvelin ei tällä hetkellä vastaa, haittaohjelma on ohjelmoitu yrittämään yhteyttä uudelleen 15 sekunnin välein jatkuvassa silmukassa. Tämä pysyvyysmekanismi varmistaa, että vaarantuneet järjestelmät pysyvät alttiina, jos hyökkääjä palauttaa palvelimen saatavuuden.

Mikä tahansa Laravel-sovellus, johon on asennettu lara-helper tai simple-queue, toimii tehokkaasti upotetun RAT:n kanssa. Uhkatoimija saa täyden etäkäyttöoikeuden komentotulkkiin, mahdollisuuden lukea ja muokata mielivaltaisia tiedostoja sekä jatkuvan näkyvyyden jokaisen tartunnan saaneen isännän järjestelmätason tietoihin.

Toteutuskonteksti vahvistaa vaikutusta

Aktivointi tapahtuu automaattisesti sovelluksen käynnistyksen yhteydessä palveluntarjoajan kautta tai luokan automaattisen latauksen kautta simple-queue-luokassa. Tämän seurauksena RAT suoritetaan samassa prosessissa kuin verkkosovellus, perien identtiset tiedostojärjestelmän käyttöoikeudet ja ympäristömuuttujat.

Tämä suorituskonteksti antaa hyökkääjälle pääsyn arkaluonteisiin resursseihin, kuten tietokannan tunnistetietoihin, API-avaimiin ja .env-tiedoston sisältöön. Tietomurto ulottuu siis järjestelmätason hallinnan ulkopuolelle ja sisältää sovellussalaisuuksien ja infrastruktuurin käyttöoikeuden täyden paljastumisen.

Uskottavuutta lisäävä strategia puhtaiden pakkausten avulla

Lisätutkimukset paljastavat, että sama julkaisija julkaisi lisäpaketteja – nhattuanbl/lara-media, nhattuanbl/snooze ja nhattuanbl/syslog – jotka eivät sisällä haitallista koodia. Nämä näyttävät toimivan mainetta rakentavina esineinä, joiden tarkoituksena on lisätä luottamusta ja kannustaa aseistettujen pakettien käyttöönottoon.

Välittömät lieventämis- ja reagointitoimenpiteet

Organisaatioiden, jotka asensivat jonkin haitallisista paketeista, tulisi olettaa tietomurron tapahtuneen. Vaadittuihin vastatoimiin kuuluvat kyseisten kirjastojen välitön poistaminen, kaikkien sovellusympäristöstä käytettävissä olevien tunnistetietojen kierrätys ja lähtevän verkkoliikenteen perusteellinen tarkastus tunnistettuun C2-infrastruktuuriin yritettyjen yhteysyritysten varalta.

Päättäväisen reagoinnin laiminlyönti voi jättää järjestelmät alttiiksi uusille hyökkääjien käytöille, jos komento- ja ohjausinfrastruktuuri palautuu toimintakuntoon.

EnigmaSoftin maksuprosessorin Digital River GmbH:n konkurssi ei vaikuta SpyHunter-asiakkaiden haittaohjelmien torjuntaan

Hae

Vaihda aluetta

Haitalliset Packagist PHP-paketit

Hämärtämistaktiikat peittävät pahantahtoiset aikomukset

Komento- ja ohjausinfrastruktuuri mahdollistaa isännän täyden haltuunoton

Pysyvä uudelleenyhdistämismekanismi lisää riskiä

Toteutuskonteksti vahvistaa vaikutusta

Uskottavuutta lisäävä strategia puhtaiden pakkausten avulla

Välittömät lieventämis- ja reagointitoimenpiteet

Lähetä kommentti

Trendaavat

Dohdoorin takaovi

Getfastbrowser.download

KIMCHI Airdrop -huijaus

Eniten katsottu

Korjaus "macOS ei voi varmistaa, että tämä sovellus...

Haittaohjelma

"Geek Squad" -sähköpostihuijaus