Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Pakej PHP Pembungkus Berbahaya

Pakej PHP Pembungkus Berbahaya

Menjelang Mezo pada perisian hasad
Terjemahkan ke

Penganalisis keselamatan siber telah mengenal pasti pakej PHP berniat jahat pada Packagist yang menyamar sebagai pustaka pembantu Laravel yang sah sambil secara rahsia menggunakan Trojan Akses Jauh (RAT) merentas platform. Perisian hasad ini beroperasi dengan lancar merentasi persekitaran Windows, macOS dan Linux, mewujudkan risiko yang ketara untuk sistem yang terjejas.

Pakej yang dikenal pasti termasuk:

  • nhattuanbl/lara-helper (37 muat turun)
  • nhattuanbl/simple-queue (29 muat turun)
  • nhattuanbl/lara-swagger (49 muat turun)

Walaupun nhattuanbl/lara-swagger tidak mengandungi kod berniat jahat secara langsung, ia menyenaraikan nhattuanbl/lara-helper sebagai kebergantungan Komposer, yang mengakibatkan pemasangan RAT terbenam. Walaupun pendedahan awam, pakej ini masih boleh diakses dalam repositori dan harus dialih keluar dengan segera daripada mana-mana persekitaran yang terjejas.

Taktik Kekeliruan Menyembunyikan Niat Berniat Jahat

Analisis kod terperinci menunjukkan bahawa kedua-dua lara-helper dan simple-queue mengandungi fail bernama src/helper.php yang direka bentuk untuk mengelak pengesanan. Perisian hasad ini menggabungkan strategi pengaburan lanjutan, termasuk manipulasi aliran kawalan, nama domain dan rentetan arahan yang dikodkan, laluan fail tersembunyi dan pembolehubah rawak serta pengecam fungsi.

Teknik-teknik ini merumitkan analisis statik dengan ketara dan membantu muatan berniat jahat memintas semakan kod konvensional dan alat pengimbasan keselamatan automatik.

Infrastruktur Perintah dan Kawalan Membolehkan Pengambilalihan Hos Penuh

Setelah dilaksanakan, RAT akan mewujudkan sambungan ke pelayan arahan dan kawalan (C2) di helper.lelele.net pada port 2096. Ia menghantar data peninjauan sistem dan memasuki keadaan pendengaran berterusan, menunggu arahan selanjutnya. Komunikasi berlaku melalui TCP menggunakan fungsi stream_socket_client() PHP.

Pintu belakang menyokong pelbagai arahan yang dikeluarkan oleh pengendali, membolehkan kawalan sistem penuh. Keupayaan termasuk:

  • Isyarat degupan jantung automatik setiap 60 saat melalui ping.
  • Penghantaran data pemprofilan sistem melalui maklumat.
  • Pelaksanaan arahan Shell (cmd).
  • Pelaksanaan arahan PowerShell (powershell).
  • Pelaksanaan arahan latar belakang (jalankan).
  • Tangkapan skrin menggunakan imagegrabscreen() (tangkapan skrin).
  • Pengekstrakan fail (muat turun).
  • Muat naik fail sewenang-wenangnya dengan kebenaran baca, tulis dan laksana yang diberikan kepada semua pengguna (muat naik).
  • Penamatan dan keluar sambungan (berhenti).

Untuk memaksimumkan kebolehpercayaan, RAT menyemak konfigurasi disable_functions PHP dan memilih kaedah pelaksanaan pertama yang tersedia daripada yang berikut: popen, proc_open, exec, shell_exec, system atau passthru. Pendekatan adaptif ini membolehkannya memintas langkah pengerasan PHP yang biasa.

Mekanisme Penyambungan Semula Berterusan Meningkatkan Risiko

Walaupun pelayan C2 yang dikenal pasti pada masa ini tidak responsif, perisian hasad diprogramkan untuk mencuba semula sambungan setiap 15 saat dalam gelung berterusan. Mekanisme kegigihan ini memastikan sistem yang terjejas kekal terdedah sekiranya penyerang memulihkan ketersediaan pelayan.

Mana-mana aplikasi Laravel yang memasang lara-helper atau simple-queue beroperasi secara berkesan dengan RAT terbenam. Aktor ancaman mendapat akses shell jauh penuh, keupayaan untuk membaca dan mengubah suai fail sewenang-wenangnya, dan keterlihatan berterusan ke dalam butiran peringkat sistem untuk setiap hos yang dijangkiti.

Konteks Pelaksanaan Menguatkan Impak

Pengaktifan berlaku secara automatik semasa but aplikasi melalui pembekal perkhidmatan atau melalui pemuatan automatik kelas dalam kes giliran mudah. Hasilnya, RAT dilaksanakan dalam proses yang sama seperti aplikasi web, mewarisi kebenaran sistem fail dan pembolehubah persekitaran yang serupa.

Konteks pelaksanaan ini memberikan penyerang akses kepada aset sensitif seperti kelayakan pangkalan data, kunci API dan kandungan fail .env. Oleh itu, kompromi tersebut melangkaui kawalan peringkat sistem kepada pendedahan penuh rahsia aplikasi dan akses infrastruktur.

Strategi Pembinaan Kredibiliti Melalui Pakej Bersih

Siasatan lanjut mendedahkan bahawa penerbit yang sama mengeluarkan pakej tambahan - nhattuanbl/lara-media, nhattuanbl/snooze dan nhattuanbl/syslog - yang tidak mengandungi kod berniat jahat. Ini nampaknya berfungsi sebagai artifak pembinaan reputasi yang direka untuk meningkatkan kepercayaan dan menggalakkan penggunaan pakej yang dijadikan senjata.

Langkah-langkah Mitigasi dan Tindak Balas Segera

Organisasi yang memasang mana-mana pakej berniat jahat harus mengambil tindakan untuk berkompromi. Tindakan tindak balas yang diperlukan termasuk penyingkiran segera pustaka yang terjejas, penggiliran semua kelayakan yang boleh diakses daripada persekitaran aplikasi dan audit menyeluruh terhadap trafik rangkaian keluar untuk percubaan sambungan ke infrastruktur C2 yang dikenal pasti.

Kegagalan untuk bertindak balas dengan tegas boleh menyebabkan sistem terdedah kepada akses penyerang yang diperbaharui jika infrastruktur arahan dan kawalan beroperasi semula.

Trending

Paling banyak dilihat

Memuatkan...