Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware Kártékony csomagkezelő PHP csomagok

Kártékony csomagkezelő PHP csomagok

Mezo -ra Malware-ben
Fordítás ide:

Kiberbiztonsági elemzők rosszindulatú PHP csomagokat azonosítottak a Packagist szerveren, amelyek legitim Laravel segítőkönyvtárakat utánoznak, miközben titokban egy többplatformos távoli hozzáférésű trójai vírust (RAT) telepítenek. A rosszindulatú program zökkenőmentesen működik Windows, macOS és Linux környezetekben, jelentős kockázatot jelentve az érintett rendszerekre.

Az azonosított csomagok a következőket tartalmazzák:

  • nhattuanbl/lara-helper (37 letöltés)
  • nhattuanbl/simple-queue (29 letöltés)
  • nhattuanbl/lara-swagger (49 letöltés)

Bár az nhattuanbl/lara-swagger nem tartalmaz közvetlenül rosszindulatú kódot, a nhattuanbl/lara-helper csomagot Composer függőségként sorolja fel, ami a beágyazott RAT telepítését eredményezi. A nyilvános közzététel ellenére ezek a csomagok továbbra is elérhetők a tárolóban, és azonnal el kell távolítani őket minden érintett környezetből.

Kóborlási taktikák a rosszindulatú szándék elrejtésére

A részletes kódelemzés azt mutatja, hogy mind a lara-helper, mind a simple-queue tartalmaz egy src/helper.php nevű fájlt, amelyet úgy terveztek, hogy elkerülje az észlelést. A rosszindulatú program fejlett obfuszkációs stratégiákat alkalmaz, beleértve a vezérlőfolyamat manipulálását, a kódolt domainneveket és parancsláncokat, a rejtett fájlelérési utakat, valamint a véletlenszerű változók és függvények azonosítóit.

Ezek a technikák jelentősen bonyolítják a statikus elemzést, és segítenek a rosszindulatú hasznos fájloknak megkerülni a hagyományos kódellenőrzést és az automatizált biztonsági szkennelő eszközöket.

A parancs- és irányítástechnikai infrastruktúra lehetővé teszi a teljes hosztátvételt

A végrehajtás után a RAT kapcsolatot létesít egy parancs-és-vezérlő (C2) szerverrel a helper.leuleu.net címen a 2096-os porton. Elküldi a rendszer felderítő adatait, és állandó figyelő állapotba lép, további utasításokra várva. A kommunikáció TCP-n keresztül történik a PHP stream_socket_client() függvényének használatával.

A hátsó ajtó a kezelő által kiadott parancsok széles skáláját támogatja, lehetővé téve a teljes rendszervezérlést. A funkciók többek között:

  • Automatikus szívverésjelzés 60 másodpercenként ping segítségével.
  • Rendszerprofilozási adatok továbbítása info.-n keresztül.
  • Hélparancs végrehajtása (cmd).
  • PowerShell parancs végrehajtása (PowerShell).
  • Háttérben futó parancs végrehajtása (run).
  • Képernyőkép rögzítése az imagegrabscreen() függvénnyel (képernyőkép).
  • Fájlok kiszűrése (letöltés).
  • Tetszőleges fájlfeltöltés olvasási, írási és végrehajtási jogosultságokkal minden felhasználó számára (feltöltés).
  • Kapcsolat megszakítása és kilépés (stop).

A megbízhatóság maximalizálása érdekében a RAT ellenőrzi a PHP disable_functions konfigurációját, és a következők közül kiválasztja az első elérhető végrehajtási metódust: popen, proc_open, exec, shell_exec, system vagy passthru. Ez az adaptív megközelítés lehetővé teszi a gyakori PHP-védelmi intézkedések megkerülését.

A tartós újracsatlakozási mechanizmus növeli a kockázatot

Bár az azonosított C2 szerver jelenleg nem válaszol, a rosszindulatú program úgy van programozva, hogy folyamatos ciklusban 15 másodpercenként újrapróbálkozzon a kapcsolatokkal. Ez a mechanizmus biztosítja, hogy a feltört rendszerek sebezhetőek maradjanak, ha a támadó visszaállítja a szerver elérhetőségét.

Bármely Laravel alkalmazás, amely telepítette a lara-helper vagy a simple-queue csomagot, hatékonyan működik egy beágyazott RAT-tal. A fenyegető szereplő teljes távoli shell hozzáférést kap, képes tetszőleges fájlokat olvasni és módosítani, valamint folyamatos betekintést nyer az egyes fertőzött gazdagépek rendszerszintű részleteibe.

A végrehajtási kontextus felerősíti a hatást

Az aktiválás automatikusan megtörténik az alkalmazás indításakor egy szolgáltatón keresztül, vagy az osztály automatikus betöltésén keresztül simple-queue esetén. Ennek eredményeként a RAT ugyanabban a folyamatban fut, mint a webes alkalmazás, azonos fájlrendszer-engedélyeket és környezeti változókat örökölve.

Ez a végrehajtási kontextus hozzáférést biztosít a támadónak olyan érzékeny erőforrásokhoz, mint az adatbázis hitelesítő adatai, API-kulcsok és az .env fájl tartalma. A kompromittálás tehát túlmutat a rendszerszintű kontrollon, és teljes mértékben felfedi az alkalmazástitkokat és az infrastruktúrához való hozzáférést.

Hitelességépítő stratégia tiszta csomagokon keresztül

További vizsgálatok kimutatták, hogy ugyanaz a kiadó további csomagokat is kiadott – nhattuanbl/lara-media, nhattuanbl/snooze és nhattuanbl/syslog –, amelyek nem tartalmaznak kártékony kódot. Úgy tűnik, ezek hírnévépítő elemekként szolgálnak, amelyek célja a bizalom növelése és a fegyverként szolgáló csomagok elterjedésének ösztönzése.

Azonnali enyhítési és reagálási intézkedések

A kártékony csomagok bármelyikét telepítő szervezeteknek feltételezniük kell a kompromittálódást. A szükséges válaszlépések közé tartozik az érintett könyvtárak azonnali eltávolítása, az alkalmazáskörnyezetből elérhető összes hitelesítő adat áthelyezése, valamint a kimenő hálózati forgalom alapos ellenőrzése az azonosított C2 infrastruktúrához való csatlakozási kísérletek szempontjából.

A határozott válasz hiánya sebezhetővé teheti a rendszereket az újabb támadók hozzáférésével szemben, ha a parancsnoki és irányítási infrastruktúra ismét működőképessé válik.

Felkapott

Legnézettebb

Betöltés...