Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa Kenkėjiški paketų kūrėjų PHP paketai

Kenkėjiški paketų kūrėjų PHP paketai

Autorius Mezo, Kenkėjiška programa
Versti į:

Kibernetinio saugumo analitikai „Packagist“ svetainėje aptiko kenkėjiškų PHP paketų, kurie apsimeta teisėtomis „Laravel“ pagalbinėmis bibliotekomis ir slapta diegia kelių platformų nuotolinės prieigos Trojos arklį (RAT). Kenkėjiška programa sklandžiai veikia „Windows“, „macOS“ ir „Linux“ aplinkose, sukeldama didelę riziką paveiktoms sistemoms.

Identifikuoti paketai apima:

  • nhattuanbl/lara-helper (37 atsisiuntimai)
  • nhattuanbl/simple-queue (29 atsisiuntimai)
  • nhattuanbl/lara-swagger (49 atsisiuntimai)

Nors „nhattuanbl/lara-swagger“ tiesiogiai neapima kenkėjiško kodo, „nhattuanbl/lara-helper“ nurodomas kaip „Composer“ priklausomybė, todėl įdiegiama įterptoji RAT. Nepaisant viešo atskleidimo, šie paketai lieka prieinami saugykloje ir turėtų būti nedelsiant pašalinti iš bet kurios paveiktos aplinkos.

Užmaskavimo taktika slepia kenkėjiškus ketinimus

Išsami kodo analizė rodo, kad tiek „lara-helper“, tiek „simple-queue“ turi failą pavadinimu src/helper.php, sukurtą taip, kad nebūtų aptinkamas. Kenkėjiška programa naudoja pažangias klaidinimo strategijas, įskaitant valdymo srauto manipuliavimą, užkoduotus domenų vardus ir komandų eilutes, paslėptus failų kelius ir atsitiktinių kintamųjų bei funkcijų identifikatorius.

Šie metodai gerokai apsunkina statinę analizę ir padeda kenkėjiškam krūviui apeiti įprastą kodo peržiūrą ir automatinius saugumo skenavimo įrankius.

Komandų ir kontrolės infrastruktūra leidžia visiškai perimti šeimininko valdymą

Paleidus RAT, jis užmezga ryšį su komandų ir valdymo (C2) serveriu adresu helper.leuleu.net, kurio prievadas yra 2096. Jis perduoda sistemos žvalgybos duomenis ir pereina į nuolatinio klausymo būseną, laukdamas tolesnių nurodymų. Ryšys vyksta per TCP, naudojant PHP funkciją „stream_socket_client()“.

Užpakalinės durys palaiko platų operatoriaus duodamų komandų spektrą, suteikdamos visišką sistemos valdymą. Galimybės apima:

  • Automatiniai širdies ritmo signalai kas 60 sekundžių per ping.
  • Sistemos profiliavimo duomenų perdavimas per info.
  • Apvalkalo komandos vykdymas (cmd).
  • „PowerShell“ komandos vykdymas („PowerShell“).
  • Fono komandos vykdymas (vykdymas).
  • Ekrano kopija naudojant imagegrabscreen() (ekrano kopija).
  • Failų išfiltravimas (atsisiuntimas).
  • Savavališkas failų įkėlimas su visiems vartotojams suteiktomis skaitymo, rašymo ir vykdymo teisėmis (įkėlimas).
  • Ryšio nutraukimas ir išėjimas (stop).

Siekdamas maksimaliai padidinti patikimumą, RAT patikrina PHP „disable_functions“ konfigūraciją ir pasirenka pirmąjį galimą vykdymo metodą iš šių: „popen“, „proc_open“, „exec“, „shell_exec“, „system“ arba „passthru“. Šis adaptyvus metodas leidžia apeiti įprastas PHP apsaugos nuo pažeidimų priemones.

Nuolatinis pakartotinio prisijungimo mechanizmas padidina riziką

Nors nustatytas C2 serveris šiuo metu neatsako, kenkėjiška programa užprogramuota bandyti prisijungti kas 15 sekundžių nepertraukiamu ciklu. Šis veikimo mechanizmas užtikrina, kad pažeistos sistemos liktų pažeidžiamos, jei užpuolikas atkurtų serverio prieinamumą.

Bet kuri „Laravel“ programa, kurioje įdiegta „lara-helper“ arba „simple-queue“, efektyviai veikia su įterptu RAT. Grėsmės veikėjas gauna visišką nuotolinę prieigą prie apvalkalo, galimybę skaityti ir modifikuoti savavališkus failus bei nuolat mato sistemos lygio informaciją apie kiekvieną užkrėstą kompiuterį.

Vykdymo kontekstas sustiprina poveikį

Aktyvinimas atliekamas automatiškai paleidžiant programą per paslaugų teikėją arba per klasės automatinį įkėlimą, jei tai paprasta eilė. Dėl to RAT vykdomas tame pačiame procese kaip ir žiniatinklio programa, paveldėdamas identiškas failų sistemos teises ir aplinkos kintamuosius.

Šis vykdymo kontekstas suteikia užpuolikui prieigą prie jautrių išteklių, tokių kaip duomenų bazės kredencialai, API raktai ir .env failo turinys. Todėl įsilaužimas apima ne tik sistemos lygio kontrolę, bet ir visišką programų paslapčių bei infrastruktūros prieigos atskleidimą.

Patikimumo stiprinimo strategija taikant švarius paketus

Tolesnis tyrimas atskleidžia, kad tas pats leidėjas išleido papildomus paketus – „nhattuanbl/lara-media“, „nhattuanbl/snooze“ ir „nhattuanbl/syslog“ – kuriuose nėra kenkėjiško kodo. Atrodo, kad jie tarnauja kaip reputacijos kūrimo artefaktai, skirti padidinti pasitikėjimą ir paskatinti naudoti ginkluotus paketus.

Neatidėliotinos švelninimo ir reagavimo priemonės

Organizacijos, kurios įdiegė bet kurį iš kenkėjiškų paketų, turėtų daryti prielaidą apie kompromitaciją. Būtini atsakomieji veiksmai apima nedelsiant pašalinamas paveiktas bibliotekas, visų iš programos aplinkos pasiekiamų prisijungimo duomenų perdavimą ir išsamų išeinančio tinklo srauto auditą, siekiant nustatyti bandymus prisijungti prie nustatytos C2 infrastruktūros.

Nesugebėjimas ryžtingai reaguoti gali palikti sistemas pažeidžiamas pakartotinei užpuolikų prieigai, jei valdymo ir kontrolės infrastruktūra vėl pradės veikti.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
23,084
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...