Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni PHP paketi Packagist

Zlonamjerni PHP paketi Packagist

Do Mezo. Malware. godine
Prevedi na:

Analitičari kibernetičke sigurnosti identificirali su zlonamjerne PHP pakete na Packagistu koji se lažno predstavljaju kao legitimne Laravel pomoćne biblioteke dok prikriveno implementiraju višeplatformski trojanac za udaljeni pristup (RAT). Zlonamjerni softver besprijekorno djeluje u Windows, macOS i Linux okruženjima, stvarajući značajan rizik za pogođene sustave.

Identificirani paketi uključuju:

  • nhattuanbl/lara-pomoćnica (37 preuzimanja)
  • nhattuanbl/simple-queue (29 preuzimanja)
  • nhattuanbl/lara-swagger (49 preuzimanja)

Iako nhattuanbl/lara-swagger ne sadrži izravno zlonamjerni kod, navodi nhattuanbl/lara-helper kao Composer ovisnost, što rezultira instalacijom ugrađenog RAT-a. Unatoč javnom otkrivanju, ovi paketi ostaju dostupni u repozitoriju i treba ih odmah ukloniti iz svakog pogođenog okruženja.

Taktike prikrivanja prikrivaju zlonamjernu namjeru

Detaljna analiza koda pokazuje da i lara-helper i simple-queue sadrže datoteku pod nazivom src/helper.php, dizajniranu da izbjegne otkrivanje. Zlonamjerni softver uključuje napredne strategije maskiranja, uključujući manipulaciju tokom kontrole, kodirane nazive domena i naredbene nizove, skrivene putanje datoteka i nasumične identifikatore varijabli i funkcija.

Ove tehnike značajno kompliciraju statičku analizu i pomažu zlonamjernom teretu da zaobiđe konvencionalne alate za pregled koda i automatizirane alate za sigurnosno skeniranje.

Infrastruktura zapovijedanja i upravljanja omogućuje potpuno preuzimanje hosta

Nakon izvršenja, RAT uspostavlja vezu s C2 (command-and-control) poslužiteljem na helper.leuleu.net na portu 2096. Prenosi podatke o izviđanju sustava i ulazi u stanje trajnog slušanja, čekajući daljnje upute. Komunikacija se odvija putem TCP-a pomoću PHP-ove funkcije stream_socket_client().

Stražnja vrata podržavaju širok raspon naredbi koje izdaje operater, omogućujući potpunu kontrolu sustava. Mogućnosti uključuju:

  • Automatski otkucaji srca signaliziraju svakih 60 sekundi putem pinga.
  • Prijenos podataka o profiliranju sustava putem informacija.
  • Izvršavanje naredbi ljuske (cmd).
  • Izvršavanje PowerShell naredbi (powershell).
  • Izvršavanje naredbi u pozadini (run).
  • Snimka zaslona pomoću imagegrabscreen() (snimka zaslona).
  • Eksfiltracija (preuzimanje) datoteka.
  • Prijenos proizvoljnog broja datoteka s dopuštenjima za čitanje, pisanje i izvršavanje dodijeljenim svim korisnicima (prijenos).
  • Završetak veze i izlaz (zaustavljanje).

Kako bi se maksimizirala pouzdanost, RAT provjerava konfiguraciju PHP disable_functions i odabire prvu dostupnu metodu izvršavanja iz sljedećeg: popen, proc_open, exec, shell_exec, system ili passthru. Ovaj adaptivni pristup omogućuje mu zaobilaženje uobičajenih mjera zaštite PHP-a.

Mehanizam trajnog ponovnog povezivanja povećava rizik

Iako identificirani C2 poslužitelj trenutno ne reagira, zlonamjerni softver je programiran da ponovno pokušava uspostaviti vezu svakih 15 sekundi u kontinuiranoj petlji. Ovaj mehanizam perzistentnosti osigurava da kompromitirani sustavi ostanu izloženi ako napadač vrati dostupnost poslužitelja.

Bilo koja Laravel aplikacija koja je instalirala lara-helper ili simple-queue učinkovito radi s ugrađenim RAT-om. Prijetnja dobiva puni udaljeni pristup ljusci, mogućnost čitanja i mijenjanja proizvoljnih datoteka te kontinuirani uvid u detalje na razini sustava za svaki zaraženi host.

Kontekst izvršenja pojačava utjecaj

Aktivacija se događa automatski tijekom pokretanja aplikacije putem davatelja usluga ili putem automatskog učitavanja klase u slučaju jednostavnog reda čekanja. Kao rezultat toga, RAT se izvršava unutar istog procesa kao i web aplikacija, nasljeđujući identične dozvole datotečnog sustava i varijable okruženja.

Ovaj kontekst izvršavanja napadaču daje pristup osjetljivim resursima kao što su vjerodajnice baze podataka, API ključevi i sadržaj .env datoteke. Kompromitacija se stoga proteže izvan kontrole na razini sustava na potpuno otkrivanje tajni aplikacije i pristupa infrastrukturi.

Strategija izgradnje kredibiliteta kroz čiste pakete

Daljnja istraga otkriva da je isti izdavač izdao dodatne pakete - nhattuanbl/lara-media, nhattuanbl/snooze i nhattuanbl/syslog - koji ne sadrže zlonamjerni kod. Čini se da služe kao artefakti za izgradnju ugleda osmišljeni za povećanje povjerenja i poticanje prihvaćanja paketa koji služe kao oružje.

Mjere hitnog ublažavanja i odgovora

Organizacije koje su instalirale bilo koji od zlonamjernih paketa trebale bi pretpostaviti kompromitaciju. Potrebne mjere odgovora uključuju trenutno uklanjanje pogođenih biblioteka, rotaciju svih vjerodajnica dostupnih iz okruženja aplikacije i temeljitu reviziju odlaznog mrežnog prometa za pokušaje povezivanja s identificiranom C2 infrastrukturom.

Nedostatak odlučnog odgovora može ostaviti sustave ranjivima na ponovni pristup napadača ako infrastruktura zapovijedanja i upravljanja ponovno postane operativna.

U trendu

Nagledanije

Učitavam...