Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware Kwaadaardige PHP-pakketten van Packagist

Kwaadaardige PHP-pakketten van Packagist

Tegen Mezo in Malware
Vertalen naar:

Cybersecurity-analisten hebben op Packagist kwaadaardige PHP-pakketten ontdekt die zich voordoen als legitieme Laravel-helperbibliotheken, terwijl ze in het geheim een platformonafhankelijke Remote Access Trojan (RAT) installeren. De malware werkt probleemloos in Windows-, macOS- en Linux-omgevingen en vormt een aanzienlijk risico voor getroffen systemen.

De geïdentificeerde pakketten omvatten:

  • nhattuanbl/lara-helper (37 downloads)
  • nhattuanbl/simple-queue (29 downloads)
  • nhattuanbl/lara-swagger (49 downloads)

Hoewel nhattuanbl/lara-swagger zelf geen kwaadaardige code bevat, vermeldt het nhattuanbl/lara-helper als een Composer-afhankelijkheid, wat resulteert in de installatie van de ingebouwde RAT (Remote Access Trojan). Ondanks de openbare bekendmaking blijven deze pakketten toegankelijk in de repository en moeten ze onmiddellijk worden verwijderd uit alle getroffen omgevingen.

Verhullingstactieken verbergen kwaadwillige intenties.

Gedetailleerde codeanalyse toont aan dat zowel lara-helper als simple-queue een bestand met de naam src/helper.php bevatten, dat is ontworpen om detectie te omzeilen. De malware maakt gebruik van geavanceerde obfuscatiestrategieën, waaronder manipulatie van de controlestroom, gecodeerde domeinnamen en commandoreeksen, verborgen bestandspaden en willekeurige variabele- en functie-identificaties.

Deze technieken bemoeilijken statische analyse aanzienlijk en helpen de kwaadaardige payload om conventionele codebeoordeling en geautomatiseerde beveiligingsscans te omzeilen.

Command-and-control-infrastructuur maakt volledige overname van de host mogelijk.

Na uitvoering legt de RAT een verbinding met een command-and-control (C2) server op helper.leuleu.net op poort 2096. Het verzendt systeemverkenningsgegevens en gaat over in een permanente luistermodus, wachtend op verdere instructies. De communicatie vindt plaats via TCP met behulp van de PHP-functie stream_socket_client().

De backdoor ondersteunt een breed scala aan door de operator uitgegeven commando's, waardoor volledige systeemcontrole mogelijk is. Mogelijkheden zijn onder andere:

  • Automatische hartslagmeting via ping elke 60 seconden.
  • Overdracht van systeemprofileringsgegevens via info.
  • Het uitvoeren van shell-opdrachten (cmd).
  • Het uitvoeren van PowerShell-opdrachten (powershell).
  • Opdrachten op de achtergrond uitvoeren (run).
  • Schermopname maken met imagegrabscreen() (screenshot).
  • Bestandsexfiltratie (downloaden).
  • Willekeurige bestandsupload met lees-, schrijf- en uitvoerrechten verleend aan alle gebruikers (upload).
  • Verbinding beëindigen en afsluiten (stoppen).

Om de betrouwbaarheid te maximaliseren, controleert de RAT de PHP disable_functions-configuratie en selecteert de eerst beschikbare uitvoeringsmethode uit de volgende opties: popen, proc_open, exec, shell_exec, system of passthru. Deze adaptieve aanpak stelt de RAT in staat om gangbare PHP-beveiligingsmaatregelen te omzeilen.

Het aanhoudende herverbindingsmechanisme verhoogt het risico.

Hoewel de geïdentificeerde C2-server momenteel niet reageert, is de malware geprogrammeerd om elke 15 seconden opnieuw verbinding te proberen te maken in een continue lus. Dit persistentiemechanisme zorgt ervoor dat gecompromitteerde systemen kwetsbaar blijven, zelfs als de aanvaller de serverbeschikbaarheid herstelt.

Elke Laravel-applicatie die lara-helper of simple-queue heeft geïnstalleerd, werkt feitelijk met een ingebouwde RAT (Remote Access Trojan). De aanvaller krijgt volledige toegang tot de shell op afstand, de mogelijkheid om willekeurige bestanden te lezen en te wijzigen, en continu inzicht in systeemdetails van elke geïnfecteerde host.

De uitvoeringscontext versterkt de impact

Activering vindt automatisch plaats tijdens het opstarten van de applicatie via een serviceprovider of via het automatisch laden van klassen in het geval van simple-queue. Hierdoor wordt de RAT uitgevoerd binnen hetzelfde proces als de webapplicatie, waardoor dezelfde bestandsrechten en omgevingsvariabelen worden overgenomen.

Deze uitvoeringscontext geeft de aanvaller toegang tot gevoelige gegevens zoals databasegegevens, API-sleutels en de inhoud van het .env-bestand. De inbreuk gaat dus verder dan controle op systeemniveau en leidt tot volledige blootstelling van applicatiegeheimen en toegang tot de infrastructuur.

Strategie voor het opbouwen van geloofwaardigheid door middel van een strakke verpakking

Nader onderzoek wijst uit dat dezelfde uitgever nog meer pakketten heeft uitgebracht - nhattuanbl/lara-media, nhattuanbl/snooze en nhattuanbl/syslog - die geen kwaadaardige code bevatten. Deze lijken te dienen als reputatiebevorderende middelen, bedoeld om het vertrouwen te vergroten en de acceptatie van de kwaadaardige pakketten aan te moedigen.

Onmiddellijke maatregelen ter beperking van de gevolgen en als reactie daarop.

Organisaties die een van de schadelijke pakketten hebben geïnstalleerd, moeten ervan uitgaan dat er sprake is van een inbreuk. Vereiste reacties omvatten het onmiddellijk verwijderen van de getroffen bibliotheken, het vernieuwen van alle inloggegevens die toegankelijk zijn vanuit de applicatieomgeving en een grondige controle van het uitgaande netwerkverkeer op pogingen tot verbinding met de geïdentificeerde C2-infrastructuur.

Als er niet daadkrachtig wordt gereageerd, kunnen systemen kwetsbaar blijven voor hernieuwde toegang door aanvallers als de command-and-control-infrastructuur weer operationeel wordt.

Trending

Meest bekeken

Bezig met laden...