मालिसियस प्याकेजिस्ट PHP प्याकेजहरू

साइबरसुरक्षा विश्लेषकहरूले प्याकेजिस्टमा दुर्भावनापूर्ण PHP प्याकेजहरू पहिचान गरेका छन् जसले वैध लाराभेल हेल्पर लाइब्रेरीहरूको प्रतिरूपण गर्दछ जबकि गोप्य रूपमा क्रस-प्लेटफर्म रिमोट एक्सेस ट्रोजन (RAT) तैनाथ गर्दछ। मालवेयरले Windows, macOS, र Linux वातावरणमा निर्बाध रूपमा काम गर्दछ, जसले प्रभावित प्रणालीहरूको लागि महत्त्वपूर्ण जोखिम सिर्जना गर्दछ।

पहिचान गरिएका प्याकेजहरूमा समावेश छन्:

• nhattuanbl/lara-helper (३७ डाउनलोडहरू)
• nhattuanbl/simple-queue (२९ डाउनलोडहरू)
• nhattuanbl/lara-swagger (४९ डाउनलोडहरू)

यद्यपि nhattuanbl/lara-swagger मा प्रत्यक्ष रूपमा दुर्भावनापूर्ण कोड समावेश छैन, यसले nhattuanbl/lara-helper लाई कम्पोजर निर्भरताको रूपमा सूचीबद्ध गर्दछ, जसले गर्दा एम्बेडेड RAT स्थापना हुन्छ। सार्वजनिक खुलासाको बावजुद, यी प्याकेजहरू भण्डारमा पहुँचयोग्य रहन्छन् र कुनै पनि प्रभावित वातावरणबाट तुरुन्तै हटाइनुपर्छ।

दुर्भावनापूर्ण मनसाय लुकाउने अस्पष्ट रणनीतिहरू

विस्तृत कोड विश्लेषणले देखाउँछ कि लारा-हेल्पर र सिम्पल-क्यु दुवैमा पत्ता लगाउनबाट बच्नको लागि इन्जिनियर गरिएको src/helper.php नामको फाइल हुन्छ। मालवेयरले उन्नत अस्पष्टता रणनीतिहरू समावेश गर्दछ, जसमा नियन्त्रण प्रवाह हेरफेर, एन्कोड गरिएको डोमेन नाम र आदेश स्ट्रिङहरू, लुकाइएको फाइल मार्गहरू, र अनियमित चर र प्रकार्य पहिचानकर्ताहरू समावेश छन्।

यी प्रविधिहरूले स्थिर विश्लेषणलाई उल्लेखनीय रूपमा जटिल बनाउँछन् र दुर्भावनापूर्ण पेलोडलाई परम्परागत कोड समीक्षा र स्वचालित सुरक्षा स्क्यानिङ उपकरणहरूलाई बाइपास गर्न मद्दत गर्छन्।

कमाण्ड-एण्ड-कन्ट्रोल पूर्वाधारले पूर्ण होस्ट टेकओभर सक्षम बनाउँछ

एकपटक कार्यान्वयन भएपछि, RAT ले पोर्ट २०९६ मा helper.leuleu.net मा रहेको कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा जडान स्थापित गर्दछ। यसले प्रणालीको जासूसी डेटा प्रसारण गर्दछ र थप निर्देशनहरूको प्रतीक्षा गर्दै, निरन्तर सुन्ने अवस्थामा प्रवेश गर्दछ। PHP को stream_socket_client() प्रकार्य प्रयोग गरेर TCP मा सञ्चार हुन्छ।

ब्याकडोरले अपरेटरद्वारा जारी गरिएका आदेशहरूको विस्तृत दायरालाई समर्थन गर्दछ, जसले गर्दा पूर्ण प्रणाली नियन्त्रण सक्षम हुन्छ। क्षमताहरूमा समावेश छन्:

• पिङ मार्फत प्रत्येक ६० सेकेन्डमा स्वचालित मुटुको धड्कन संकेतहरू।
• जानकारी मार्फत प्रणाली प्रोफाइलिङ डेटाको प्रसारण।
• शेल आदेश कार्यान्वयन (cmd)।
• PowerShell आदेश कार्यान्वयन (पावरशेल)।
• पृष्ठभूमि आदेश कार्यान्वयन (चलाउनुहोस्)।

विश्वसनीयता अधिकतम बनाउन, RAT ले PHP disable_functions कन्फिगरेसन जाँच गर्छ र निम्नबाट पहिलो उपलब्ध कार्यान्वयन विधि चयन गर्छ: popen, proc_open, exec, shell_exec, system, वा passthru। यो अनुकूली दृष्टिकोणले यसलाई सामान्य PHP कडाइका उपायहरू बाइपास गर्न अनुमति दिन्छ।

निरन्तर पुन: जडान संयन्त्रले जोखिम बढाउँछ

पहिचान गरिएको C2 सर्भर हाल अनुत्तरदायी भएता पनि, मालवेयरलाई निरन्तर लूपमा प्रत्येक १५ सेकेन्डमा जडानहरू पुन: प्रयास गर्न प्रोग्राम गरिएको छ। यो दृढता संयन्त्रले आक्रमणकारीले सर्भर उपलब्धता पुनर्स्थापित गरेमा सम्झौता गरिएका प्रणालीहरू खुला रहने कुरा सुनिश्चित गर्दछ।

लारा-हेल्पर वा सिम्पल-क्यु स्थापना गर्ने कुनै पनि लाराभेल अनुप्रयोगले एम्बेडेड RAT सँग प्रभावकारी रूपमा काम गर्छ। खतरा अभिनेताले पूर्ण रिमोट शेल पहुँच, मनमानी फाइलहरू पढ्न र परिमार्जन गर्ने क्षमता, र प्रत्येक संक्रमित होस्टको लागि प्रणाली-स्तर विवरणहरूमा निरन्तर दृश्यता प्राप्त गर्दछ।

कार्यान्वयन सन्दर्भले प्रभावलाई बढाउँछ

सेवा प्रदायक मार्फत वा साधारण-क्युको अवस्थामा कक्षा अटोलोडिङ मार्फत एप्लिकेसन बुट गर्दा सक्रियता स्वचालित रूपमा हुन्छ। फलस्वरूप, RAT ले वेब एप्लिकेसन जस्तै प्रक्रिया भित्र कार्यान्वयन गर्छ, समान फाइल प्रणाली अनुमतिहरू र वातावरण चरहरू प्राप्त गर्दछ।

यो कार्यान्वयन सन्दर्भले आक्रमणकारीलाई डेटाबेस प्रमाणहरू, API कुञ्जीहरू, र .env फाइलको सामग्रीहरू जस्ता संवेदनशील सम्पत्तिहरूमा पहुँच प्रदान गर्दछ। त्यसैले सम्झौता प्रणाली-स्तर नियन्त्रणभन्दा बाहिर अनुप्रयोग गोप्य कुराहरू र पूर्वाधार पहुँचको पूर्ण एक्सपोजरसम्म विस्तार हुन्छ।

स्वच्छ प्याकेजहरू मार्फत विश्वसनीयता निर्माण रणनीति

थप अनुसन्धानले पत्ता लगायो कि उही प्रकाशकले थप प्याकेजहरू - nhattuanbl/lara-media, nhattuanbl/snooze, र nhattuanbl/syslog - जारी गरेको थियो जसमा दुर्भावनापूर्ण कोड छैन। यी विश्वास बढाउन र हतियारयुक्त प्याकेजहरू अपनाउन प्रोत्साहित गर्न डिजाइन गरिएको प्रतिष्ठा निर्माण गर्ने कलाकृतिहरूको रूपमा काम गर्ने देखिन्छ।

तत्काल न्यूनीकरण र प्रतिक्रिया उपायहरू

कुनै पनि दुर्भावनापूर्ण प्याकेजहरू स्थापना गर्ने संस्थाहरूले सम्झौता भएको अनुमान गर्नुपर्छ। आवश्यक प्रतिक्रिया कार्यहरूमा प्रभावित पुस्तकालयहरूको तुरुन्तै हटाउने, अनुप्रयोग वातावरणबाट पहुँचयोग्य सबै प्रमाणहरूको परिक्रमण, र पहिचान गरिएको C2 पूर्वाधारमा प्रयास गरिएका जडानहरूको लागि आउटबाउन्ड नेटवर्क ट्राफिकको पूर्ण लेखा परीक्षण समावेश छ।

यदि कमाण्ड-एन्ड-कन्ट्रोल पूर्वाधार फेरि सञ्चालनमा आयो भने निर्णायक रूपमा प्रतिक्रिया दिन असफल भएमा प्रणालीहरू नवीकरण गरिएका आक्रमणकारी पहुँचको लागि कमजोर हुन सक्छन्।