Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare Ondsinnede Packagist PHP-pakker

Ondsinnede Packagist PHP-pakker

Med Mezo i Skadelig programvare
Oversett til:

Nettsikkerhetsanalytikere har identifisert ondsinnede PHP-pakker på Packagist som utgir seg for å være legitime Laravel-hjelpebiblioteker, samtidig som de i hemmelighet distribuerer en plattformuavhengig fjerntilgangstrojaner (RAT). Skadevaren opererer sømløst på tvers av Windows-, macOS- og Linux-miljøer, og skaper betydelig risiko for berørte systemer.

De identifiserte pakkene inkluderer:

  • nhattuanbl/lara-helper (37 nedlastinger)
  • nhattuanbl/simple-queue (29 nedlastinger)
  • nhattuanbl/lara-swagger (49 nedlastinger)

Selv om nhattuanbl/lara-swagger ikke direkte inneholder skadelig kode, lister den nhattuanbl/lara-helper som en Composer-avhengighet, noe som resulterer i installasjon av den innebygde RAT-en. Til tross for offentliggjøring forblir disse pakkene tilgjengelige i depotet og bør fjernes umiddelbart fra ethvert berørt miljø.

Forvirringstaktikker skjuler ondsinnede hensikter

Detaljert kodeanalyse viser at både lara-helper og simple-queue inneholder en fil med navnet src/helper.php, som er konstruert for å unngå deteksjon. Skadevaren bruker avanserte obfuskeringsstrategier, inkludert manipulering av kontrollflyt, kodede domenenavn og kommandostrenger, skjulte filstier og randomiserte variabel- og funksjonsidentifikatorer.

Disse teknikkene kompliserer statisk analyse betydelig og hjelper den ondsinnede nyttelasten med å omgå konvensjonelle kodegjennomgang og automatiserte sikkerhetsskanningsverktøy.

Kommando- og kontrollinfrastruktur muliggjør full vertsovertakelse

Når den er utført, oppretter RAT-en en forbindelse til en kommando-og-kontroll-server (C2) på helper.leuleu.net på port 2096. Den overfører systemrekognoseringsdata og går inn i en vedvarende lyttetilstand, mens den venter på ytterligere instruksjoner. Kommunikasjon skjer over TCP ved hjelp av PHPs stream_socket_client()-funksjon.

Bakdøren støtter et bredt spekter av operatørutstedte kommandoer, noe som muliggjør full systemkontroll. Funksjoner inkluderer:

  • Automatiske hjerteslagsignaler hvert 60. sekund via ping.
  • Overføring av systemprofileringsdata gjennom info.
  • Utførelse av skallkommando (cmd).
  • Utførelse av PowerShell-kommando (Powershell).
  • Utførelse av bakgrunnskommando (kjør).
  • Skjermbilde ved hjelp av imagegrabscreen() (skjermbilde).
  • Filutrensing (nedlasting).
  • Vilkårlig filopplasting med lese-, skrive- og utføringstillatelser gitt til alle brukere (opplasting).
  • Avslutning og utgang av tilkobling (stopp).

For å maksimere påliteligheten sjekker RAT PHP disable_functions-konfigurasjonen og velger den første tilgjengelige utførelsesmetoden fra følgende: popen, proc_open, exec, shell_exec, system eller passthru. Denne adaptive tilnærmingen lar den omgå vanlige PHP-herdingstiltak.

Vedvarende gjenoppkoblingsmekanisme øker risikoen

Selv om den identifiserte C2-serveren for øyeblikket ikke svarer, er skadevaren programmert til å prøve tilkoblinger på nytt hvert 15. sekund i en kontinuerlig løkke. Denne vedvarende mekanismen sikrer at kompromitterte systemer forblir eksponert dersom angriperen gjenoppretter servertilgjengeligheten.

Enhver Laravel-applikasjon som har installert lara-helper eller simple-queue, opererer effektivt med en innebygd RAT. Trusselaktøren får full ekstern tilgang til skallet, muligheten til å lese og endre vilkårlige filer og kontinuerlig innsikt i systemnivådetaljer for hver infiserte vert.

Utførelseskontekst forsterker effekten

Aktivering skjer automatisk under oppstart av applikasjonen via en tjenesteleverandør eller gjennom automatisk innlasting av klasser i tilfelle simple-queue. Som et resultat kjøres RAT-en i samme prosess som webapplikasjonen, og arver identiske filsystemtillatelser og miljøvariabler.

Denne utførelseskonteksten gir angriperen tilgang til sensitive ressurser som databaselegitimasjon, API-nøkler og innhold i .env-filen. Kompromisset strekker seg derfor utover systemnivåkontroll til full eksponering av applikasjonshemmeligheter og infrastrukturtilgang.

Strategi for troverdighetsbygging gjennom rene pakker

Videre undersøkelser avslører at den samme utgiveren ga ut tilleggspakker – nhattuanbl/lara-media, nhattuanbl/snooze og nhattuanbl/syslog – som ikke inneholder skadelig kode. Disse ser ut til å tjene som omdømmebyggende artefakter som er utformet for å øke tilliten og oppmuntre til bruk av de våpenbaserte pakkene.

Umiddelbare avbøtende og responstiltak

Organisasjoner som installerte noen av de skadelige pakkene bør anta at de er kompromittert. Nødvendige tiltak inkluderer umiddelbar fjerning av de berørte bibliotekene, rotasjon av all påloggingsinformasjon som er tilgjengelig fra applikasjonsmiljøet, og en grundig revisjon av utgående nettverkstrafikk for forsøk på tilkobling til den identifiserte C2-infrastrukturen.

Unnlatelse av å reagere avgjørende kan gjøre systemer sårbare for fornyet angripertilgang dersom kommando- og kontrollinfrastrukturen blir operativ igjen.

Trender

Mest sett

Laster inn...