חבילות PHP זדוניות של Packagist

אנליסטים של אבטחת סייבר זיהו חבילות PHP זדוניות ב-Packagist המתחזות לספריות עזר לגיטימיות של Laravel תוך פריסה חשאית של טרויאן גישה מרחוק (RAT) חוצה פלטפורמות. הנוזקה פועלת בצורה חלקה בסביבות Windows, macOS ו-Linux, ויוצרת סיכון משמעותי למערכות שנפגעו.

החבילות שזוהו כוללות:

• nhattuanbl/lara-helper (37 הורדות)
• nhattuanbl/simple-queue (29 הורדות)
• nhattuanbl/lara-swagger (49 הורדות)

למרות ש-nhattuanbl/lara-swagger אינו מכיל קוד זדוני באופן ישיר, הוא מפרט את nhattuanbl/lara-helper כתלות ב-Composer, מה שמביא להתקנת ה-RAT המוטמע. למרות הגילוי לציבור, חבילות אלו נשארות נגישות במאגר ויש להסירן באופן מיידי מכל סביבה מושפעת.

טקטיקות ערפול מסתירות כוונה זדונית

ניתוח קוד מפורט מראה כי גם lara-helper וגם simple-queue מכילים קובץ בשם src/helper.php שתוכנן כדי להתחמק מגילוי. הנוזקה משלבת אסטרטגיות ערפול מתקדמות, כולל מניפולציה של זרימת בקרה, שמות דומיין ומחרוזות פקודות מקודדים, נתיבי קבצים מוסתרים ומזהי משתנים ופונקציות אקראיים.

טכניקות אלו מסבכות משמעותית את הניתוח הסטטי ועוזרות למטען הזדוני לעקוף כלי סקירת קוד קונבנציונליים וכלי סריקת אבטחה אוטומטיים.

תשתית פיקוד ובקרה מאפשרת השתלטות מלאה על המארח

לאחר ביצוע הפעולה, ה-RAT יוצר חיבור לשרת פקודה ובקרה (C2) בכתובת helper.leuleu.net בפורט 2096. הוא משדר נתוני סיור מערכת ונכנס למצב האזנה מתמשכת, בהמתנה להוראות נוספות. התקשורת מתרחשת דרך TCP באמצעות הפונקציה stream_socket_client() של PHP.

הדלת האחורית תומכת במגוון רחב של פקודות המונפקות על ידי המפעיל, ומאפשרת שליטה מלאה במערכת. היכולות כוללות:

• אותות פעימות לב אוטומטיים כל 60 שניות באמצעות פינג.
• העברת נתוני פרופיל מערכת באמצעות מידע.
• ביצוע פקודת מעטפת (cmd).
• ביצוע פקודה של PowerShell (PowerShell).
• ביצוע פקודה ברקע (הפעלה).

כדי למקסם את האמינות, ה-RAT בודק את תצורת disable_functions של PHP ובוחר את שיטת הביצוע הראשונה הזמינה מבין האפשרויות הבאות: popen, proc_open, exec, shell_exec, system או passthru. גישה אדפטיבית זו מאפשרת לו לעקוף אמצעי הקשחה נפוצים של PHP.

מנגנון חיבור מחדש מתמשך מגביר את הסיכון

למרות ששרת ה-C2 שזוהה אינו מגיב כעת, התוכנה הזדונית מתוכנתת לנסות להתחבר מחדש כל 15 שניות בלולאה רציפה. מנגנון התמדה זה מבטיח שמערכות שנפגעו יישארו חשופות אם התוקף ישיב את זמינות השרת.

כל אפליקציית Laravel שהתקינה lara-helper או simple-queue פועלת למעשה עם RAT מוטמע. גורם האיום מקבל גישה מלאה למעטפת מרחוק, יכולת לקרוא ולשנות קבצים שרירותיים, ונראות רציפה לפרטים ברמת המערכת עבור כל מארח נגוע.

הקשר הביצוע מגביר את ההשפעה

ההפעלה מתרחשת באופן אוטומטי במהלך אתחול האפליקציה דרך ספק שירות או באמצעות טעינה אוטומטית של מחלקות במקרה של תור פשוט. כתוצאה מכך, ה-RAT מבוצע באותו תהליך כמו אפליקציית האינטרנט, ויורש הרשאות מערכת קבצים ומשתני סביבה זהים.

הקשר ביצוע זה מעניק לתוקף גישה לנכסים רגישים כגון אישורי מסד נתונים, מפתחות API ותוכן קובץ ה-.env. לכן, הפגיעה משתרעת מעבר לשליטה ברמת המערכת לחשיפה מלאה של סודות יישומים וגישה לתשתית.

אסטרטגיה לבניית אמינות באמצעות חבילות נקיות

חקירה נוספת מגלה שאותו מפיץ פרסם חבילות נוספות - nhattuanbl/lara-media, nhattuanbl/snooze, ו-nhattuanbl/syslog - שאינן מכילות קוד זדוני. נראה כי אלה משמשות כפריטים לבניית מוניטין שנועדו להגביר את האמון ולעודד אימוץ של חבילות נשק.

אמצעי הפחתה ותגובה מיידיים

ארגונים שהתקינו אחת מהחבילות הזדוניות צריכים להניח שנפרצה. פעולות התגובה הנדרשות כוללות הסרה מיידית של הספריות המושפעות, סבב של כל האישורים הנגישים מסביבת האפליקציה, וביקורת יסודית של תעבורת הרשת היוצאת עבור ניסיונות חיבור לתשתית C2 שזוהתה.

אי תגובה החלטית עלולה להשאיר מערכות פגיעות לגישה מחודשת של תוקפים אם תשתית הפיקוד והבקרה תחזור לפעולה.