Preventivo sconto multi-licenza
Database delle minacce Malware Pacchetti PHP Packagist dannosi

Pacchetti PHP Packagist dannosi

Entro Mezo nel Malware
Traduci in:

Gli analisti della sicurezza informatica hanno identificato pacchetti PHP dannosi su Packagist che impersonano librerie helper Laravel legittime, implementando segretamente un Trojan di Accesso Remoto (RAT) multipiattaforma. Il malware opera senza problemi in ambienti Windows, macOS e Linux, creando rischi significativi per i sistemi interessati.

I pacchetti identificati includono:

  • nhattuanbl/lara-helper (37 download)
  • nhattuanbl/simple-queue (29 download)
  • nhattuanbl/lara-swagger (49 download)

Sebbene nhattuanbl/lara-swagger non contenga direttamente codice dannoso, elenca nhattuanbl/lara-helper come dipendenza di Composer, il che comporta l'installazione del RAT incorporato. Nonostante la divulgazione pubblica, questi pacchetti rimangono accessibili nel repository e devono essere rimossi immediatamente da qualsiasi ambiente interessato.

Le tattiche di offuscamento nascondono intenti malevoli

Un'analisi dettagliata del codice mostra che sia lara-helper che simple-queue contengono un file denominato src/helper.php, progettato per eludere il rilevamento. Il malware incorpora strategie di offuscamento avanzate, tra cui manipolazione del flusso di controllo, nomi di dominio e stringhe di comando codificati, percorsi di file nascosti e identificatori di variabili e funzioni casuali.

Queste tecniche complicano notevolmente l'analisi statica e aiutano il payload dannoso a bypassare la revisione del codice convenzionale e gli strumenti di scansione di sicurezza automatizzati.

L’infrastruttura di comando e controllo consente il controllo completo dell’host

Una volta eseguito, il RAT stabilisce una connessione a un server di comando e controllo (C2) su helper.leuleu.net sulla porta 2096. Trasmette dati di ricognizione del sistema ed entra in uno stato di ascolto persistente, in attesa di ulteriori istruzioni. La comunicazione avviene tramite TCP utilizzando la funzione stream_socket_client() di PHP.

La backdoor supporta un'ampia gamma di comandi impartiti dall'operatore, consentendo il controllo completo del sistema. Le funzionalità includono:

  • Segnali automatici del battito cardiaco ogni 60 secondi tramite ping.
  • Trasmissione dei dati di profilazione del sistema tramite info.
  • Esecuzione del comando shell (cmd).
  • Esecuzione di comandi PowerShell (PowerShell).
  • Esecuzione del comando in background (run).
  • Cattura dello schermo utilizzando imagegrabscreen() (screenshot).
  • Esfiltrazione di file (download).
  • Caricamento di file arbitrario con autorizzazioni di lettura, scrittura ed esecuzione concesse a tutti gli utenti (caricamento).
  • Interruzione della connessione e uscita (stop).

Per massimizzare l'affidabilità, il RAT controlla la configurazione di PHP disable_functions e seleziona il primo metodo di esecuzione disponibile tra i seguenti: popen, proc_open, exec, shell_exec, system o passthru. Questo approccio adattivo consente di bypassare le comuni misure di protezione PHP.

Il meccanismo di riconnessione persistente aumenta il rischio

Sebbene il server C2 identificato non risponda al momento, il malware è programmato per ritentare la connessione ogni 15 secondi, in un ciclo continuo. Questo meccanismo di persistenza garantisce che i sistemi compromessi rimangano esposti anche nel caso in cui l'aggressore ripristini la disponibilità del server.

Qualsiasi applicazione Laravel che abbia installato lara-helper o simple-queue funziona di fatto con un RAT incorporato. L'autore della minaccia ottiene pieno accesso remoto alla shell, la possibilità di leggere e modificare file arbitrari e visibilità continua sui dettagli a livello di sistema per ciascun host infetto.

Il contesto di esecuzione amplifica l’impatto

L'attivazione avviene automaticamente durante l'avvio dell'applicazione tramite un provider di servizi o tramite il caricamento automatico delle classi nel caso di simple-queue. Di conseguenza, il RAT viene eseguito all'interno dello stesso processo dell'applicazione web, ereditando identiche autorizzazioni del file system e variabili d'ambiente.

Questo contesto di esecuzione garantisce all'aggressore l'accesso a risorse sensibili come credenziali del database, chiavi API e contenuti del file .env. La compromissione si estende quindi oltre il controllo a livello di sistema, fino alla completa esposizione dei segreti applicativi e all'accesso all'infrastruttura.

Strategia di creazione di credibilità attraverso pacchetti puliti

Ulteriori indagini rivelano che lo stesso editore ha rilasciato pacchetti aggiuntivi - nhattuanbl/lara-media, nhattuanbl/snooze e nhattuanbl/syslog - che non contengono codice dannoso. Questi sembrano fungere da artefatti di costruzione della reputazione, progettati per aumentare la fiducia e incoraggiare l'adozione dei pacchetti trasformati in armi.

Misure di mitigazione e risposta immediate

Le organizzazioni che hanno installato uno qualsiasi dei pacchetti dannosi devono presumere che si tratti di una violazione. Le azioni di risposta richieste includono la rimozione immediata delle librerie interessate, la rotazione di tutte le credenziali accessibili dall'ambiente applicativo e un audit approfondito del traffico di rete in uscita per i tentativi di connessione all'infrastruttura C2 identificata.

La mancata risposta in modo deciso potrebbe rendere i sistemi vulnerabili a un nuovo accesso da parte di aggressori, qualora l'infrastruttura di comando e controllo tornasse operativa.

Tendenza

I più visti

Caricamento in corso...