दुर्भावनापूर्ण पैकेजिस्ट पीएचपी पैकेज

साइबर सुरक्षा विश्लेषकों ने पैकजिस्ट पर दुर्भावनापूर्ण PHP पैकेज की पहचान की है जो वैध लारवेल हेल्पर लाइब्रेरी का रूप धारण करके गुप्त रूप से एक क्रॉस-प्लेटफ़ॉर्म रिमोट एक्सेस ट्रोजन (RAT) तैनात करते हैं। यह मैलवेयर विंडोज, macOS और लिनक्स वातावरण में निर्बाध रूप से काम करता है, जिससे प्रभावित सिस्टमों के लिए गंभीर खतरा पैदा होता है।

पहचाने गए पैकेजों में निम्नलिखित शामिल हैं:

• nhattuanbl/lara-helper (37 डाउनलोड)
• nhattuanbl/simple-queue (29 डाउनलोड)
• nhattuanbl/lara-swagger (49 डाउनलोड)

हालांकि nhattuanbl/lara-swagger में सीधे तौर पर कोई दुर्भावनापूर्ण कोड नहीं है, फिर भी यह nhattuanbl/lara-helper को Composer की निर्भरता के रूप में सूचीबद्ध करता है, जिसके परिणामस्वरूप अंतर्निहित RAT स्थापित हो जाता है। सार्वजनिक रूप से खुलासा होने के बावजूद, ये पैकेज रिपॉजिटरी में उपलब्ध हैं और प्रभावित वातावरण से इन्हें तुरंत हटा देना चाहिए।

भ्रामक जानकारी छिपाने की रणनीति दुर्भावनापूर्ण इरादे को छुपाती है।

विस्तृत कोड विश्लेषण से पता चलता है कि lara-helper और simple-queue दोनों में src/helper.php नामक एक फ़ाइल मौजूद है जिसे पहचान से बचने के लिए बनाया गया है। मैलवेयर में उन्नत अस्पष्टीकरण रणनीतियाँ शामिल हैं, जिनमें नियंत्रण प्रवाह में हेरफेर, एन्कोडेड डोमेन नाम और कमांड स्ट्रिंग, छिपे हुए फ़ाइल पथ और यादृच्छिक चर और फ़ंक्शन पहचानकर्ता शामिल हैं।

ये तकनीकें स्थैतिक विश्लेषण को काफी जटिल बना देती हैं और दुर्भावनापूर्ण पेलोड को पारंपरिक कोड समीक्षा और स्वचालित सुरक्षा स्कैनिंग उपकरणों को दरकिनार करने में मदद करती हैं।

कमांड-एंड-कंट्रोल इन्फ्रास्ट्रक्चर पूर्ण होस्ट अधिग्रहण को सक्षम बनाता है

एक बार निष्पादित होने पर, RAT helper.leuleu.net पर स्थित कमांड-एंड-कंट्रोल (C2) सर्वर से पोर्ट 2096 पर कनेक्शन स्थापित करता है। यह सिस्टम संबंधी जानकारी प्रसारित करता है और आगे के निर्देशों की प्रतीक्षा में निरंतर श्रवण अवस्था में चला जाता है। संचार PHP के stream_socket_client() फ़ंक्शन का उपयोग करके TCP पर होता है।

यह बैकडोर ऑपरेटर द्वारा जारी किए गए कई प्रकार के कमांड को सपोर्ट करता है, जिससे सिस्टम पर पूर्ण नियंत्रण संभव हो जाता है। इसकी क्षमताओं में शामिल हैं:

• पिंग के माध्यम से हर 60 सेकंड में स्वचालित रूप से हृदय गति के संकेत प्राप्त होते हैं।
• सूचना के माध्यम से सिस्टम प्रोफाइलिंग डेटा का संचरण।
• शेल कमांड निष्पादन (cmd)।
• पॉवरशेल कमांड निष्पादन (पॉवरशेल)।
• पृष्ठभूमि में कमांड का निष्पादन (रन)।

विश्वसनीयता को अधिकतम करने के लिए, RAT PHP के disable_functions कॉन्फ़िगरेशन की जाँच करता है और popen, proc_open, exec, shell_exec, system, या passthru में से उपलब्ध पहले निष्पादन विधि का चयन करता है। यह अनुकूली दृष्टिकोण इसे PHP के सामान्य सुरक्षा उपायों को दरकिनार करने की अनुमति देता है।

निरंतर पुनर्संयोजन तंत्र जोखिम को बढ़ाता है

हालांकि पहचाना गया C2 सर्वर फिलहाल काम नहीं कर रहा है, लेकिन मैलवेयर को हर 15 सेकंड में लगातार कनेक्शन दोबारा स्थापित करने के लिए प्रोग्राम किया गया है। यह निरंतर संचालन तंत्र सुनिश्चित करता है कि यदि हमलावर सर्वर की उपलब्धता बहाल कर भी दे, तो भी प्रभावित सिस्टम असुरक्षित बने रहें।

कोई भी Laravel एप्लिकेशन जिसमें lara-helper या simple-queue इंस्टॉल किया गया है, वह प्रभावी रूप से एक एम्बेडेड RAT के साथ काम कर रहा है। हमलावर को पूर्ण रिमोट शेल एक्सेस, मनमानी फ़ाइलों को पढ़ने और संशोधित करने की क्षमता और प्रत्येक संक्रमित होस्ट के सिस्टम-स्तरीय विवरणों की निरंतर जानकारी प्राप्त हो जाती है।

क्रियान्वयन संदर्भ प्रभाव को बढ़ाता है

एप्लिकेशन बूट होने के दौरान, सेवा प्रदाता के माध्यम से या सिंपल-क्यू के मामले में क्लास ऑटोलोडिंग के माध्यम से सक्रियण स्वचालित रूप से होता है। परिणामस्वरूप, RAT वेब एप्लिकेशन के समान प्रोसेस में चलता है, और समान फ़ाइल सिस्टम अनुमतियाँ और पर्यावरण चर प्राप्त करता है।

यह निष्पादन संदर्भ हमलावर को डेटाबेस क्रेडेंशियल, एपीआई कुंजी और .env फ़ाइल की सामग्री जैसी संवेदनशील संपत्तियों तक पहुंच प्रदान करता है। इस प्रकार, यह समझौता सिस्टम-स्तरीय नियंत्रण से आगे बढ़कर एप्लिकेशन के रहस्यों और बुनियादी ढांचे तक पूर्ण पहुंच को उजागर करता है।

स्वच्छ पैकेजिंग के माध्यम से विश्वसनीयता निर्माण रणनीति

आगे की जांच से पता चलता है कि उसी प्रकाशक ने अतिरिक्त पैकेज - nhattuanbl/lara-media, nhattuanbl/snooze और nhattuanbl/syslog - जारी किए हैं, जिनमें कोई दुर्भावनापूर्ण कोड नहीं है। ऐसा प्रतीत होता है कि ये पैकेज प्रतिष्ठा बढ़ाने और दुर्भावनापूर्ण पैकेजों को अपनाने के लिए प्रोत्साहित करने हेतु बनाए गए हैं।

तत्काल शमन और प्रतिक्रिया उपाय

जिन संगठनों ने किसी भी प्रकार के दुर्भावनापूर्ण पैकेज को स्थापित किया है, उन्हें सुरक्षा में सेंध लगने की आशंका मान लेनी चाहिए। आवश्यक कार्रवाई में प्रभावित लाइब्रेरी को तुरंत हटाना, एप्लिकेशन वातावरण से सुलभ सभी क्रेडेंशियल्स को बदलना और पहचाने गए C2 इन्फ्रास्ट्रक्चर से कनेक्शन के प्रयासों के लिए आउटबाउंड नेटवर्क ट्रैफ़िक का पूरी तरह से ऑडिट करना शामिल है।

निर्णायक रूप से प्रतिक्रिया देने में विफलता से सिस्टम फिर से हमलावरों की पहुंच के प्रति असुरक्षित रह सकते हैं यदि कमांड-एंड-कंट्रोल इंफ्रास्ट्रक्चर फिर से चालू हो जाता है।