Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Złośliwe pakiety PHP

Złośliwe pakiety PHP

Do Mezo w Złośliwe oprogramowanie
Przetłumacz na:

Analitycy ds. cyberbezpieczeństwa zidentyfikowali w serwisie Packagist złośliwe pakiety PHP, które podszywają się pod legalne biblioteki pomocnicze Laravel, jednocześnie potajemnie wdrażając wieloplatformowego trojana zdalnego dostępu (RAT). Szkodliwe oprogramowanie działa bezproblemowo w środowiskach Windows, macOS i Linux, stwarzając znaczne ryzyko dla zainfekowanych systemów.

Zidentyfikowane pakiety obejmują:

  • nhattuanbl/lara-helper (37 pobrań)
  • nhattuanbl/simple-queue (29 downloads)
  • nhattuanbl/lara-swagger (49 downloads)

Chociaż pakiet nhattuanbl/lara-swagger nie zawiera bezpośrednio złośliwego kodu, wymienia on pakiet nhattuanbl/lara-helper jako zależność Composera, co skutkuje instalacją osadzonego narzędzia RAT. Pomimo publicznego ujawnienia, pakiety te pozostają dostępne w repozytorium i należy je natychmiast usunąć z każdego zagrożonego środowiska.

Taktyki zaciemniania ukrywają złośliwe intencje

Szczegółowa analiza kodu pokazuje, że zarówno lara-helper, jak i simple-queue zawierają plik o nazwie src/helper.php, zaprojektowany tak, aby uniknąć wykrycia. Szkodliwe oprogramowanie wykorzystuje zaawansowane strategie zaciemniania, w tym manipulację przepływem sterowania, zakodowane nazwy domen i ciągi poleceń, ukryte ścieżki do plików oraz losowe identyfikatory zmiennych i funkcji.

Techniki te znacznie komplikują analizę statyczną i pomagają złośliwym programom ominąć konwencjonalne narzędzia do przeglądu kodu i automatycznego skanowania bezpieczeństwa.

Infrastruktura dowodzenia i kontroli umożliwia pełne przejęcie hosta

Po uruchomieniu, RAT nawiązuje połączenie z serwerem poleceń i kontroli (C2) na helper.leuleu.net na porcie 2096. Przesyła dane rozpoznawcze systemu i przechodzi w stan trwałego nasłuchiwania, oczekując na dalsze instrukcje. Komunikacja odbywa się przez TCP za pomocą funkcji PHP stream_socket_client().

Tylne drzwi obsługują szeroki zakres poleceń wydawanych przez operatora, umożliwiając pełną kontrolę nad systemem. Możliwości obejmują:

  • Automatyczne sygnały bicia serca wysyłane co 60 sekund za pomocą polecenia ping.
  • Przesyłanie danych profilujących system poprzez info.
  • Wykonywanie poleceń powłoki (cmd).
  • Wykonywanie poleceń programu PowerShell (PowerShell).
  • Wykonywanie poleceń w tle (uruchomienie).
  • Zrzut ekranu przy użyciu imagegrabscreen() (zrzut ekranu).
  • Eksfiltracja plików (pobierz).
  • Przesyłanie dowolnych plików z uprawnieniami do odczytu, zapisu i wykonywania przyznanymi wszystkim użytkownikom (przesyłanie).
  • Zakończenie połączenia i wyjście (stop).

Aby zmaksymalizować niezawodność, RAT sprawdza konfigurację funkcji PHP disable_functions i wybiera pierwszą dostępną metodę wykonania spośród następujących: popen, proc_open, exec, shell_exec, system lub passthru. To adaptacyjne podejście pozwala mu ominąć typowe środki wzmacniające PHP.

Mechanizm trwałego ponownego połączenia zwiększa ryzyko

Chociaż zidentyfikowany serwer C2 jest obecnie nieaktywny, złośliwe oprogramowanie jest zaprogramowane tak, aby co 15 sekund ponawiać próby nawiązania połączenia w pętli. Ten mechanizm trwałości gwarantuje, że zainfekowane systemy pozostaną narażone na ataki, nawet jeśli atakujący przywróci dostępność serwera.

Każda aplikacja Laravel, która zainstalowała lara-helper lub simple-queue, działa z wbudowanym RAT-em. Atakujący uzyskuje pełny zdalny dostęp do powłoki, możliwość odczytu i modyfikacji dowolnych plików oraz stały wgląd w szczegóły systemowe dla każdego zainfekowanego hosta.

Kontekst wykonania wzmacnia wpływ

Aktywacja następuje automatycznie podczas rozruchu aplikacji za pośrednictwem dostawcy usług lub poprzez automatyczne ładowanie klas w przypadku kolejki prostej. W rezultacie RAT działa w tym samym procesie co aplikacja internetowa, dziedzicząc identyczne uprawnienia systemu plików i zmienne środowiskowe.

Ten kontekst wykonania zapewnia atakującemu dostęp do wrażliwych zasobów, takich jak dane uwierzytelniające bazy danych, klucze API i zawartość pliku .env. W związku z tym zagrożenie wykracza poza kontrolę na poziomie systemu, obejmując pełne ujawnienie poufnych informacji aplikacji i dostęp do infrastruktury.

Strategia budowania wiarygodności poprzez czyste pakiety

Dalsze dochodzenie ujawniło, że ten sam wydawca udostępnił dodatkowe pakiety – nhattuanbl/lara-media, nhattuanbl/snooze i nhattuanbl/syslog – które nie zawierają złośliwego kodu. Wygląda na to, że służą one jako artefakty do budowania reputacji, mające na celu zwiększenie zaufania i zachęcenie do stosowania pakietów tego typu.

Natychmiastowe środki łagodzące i reagowania

Organizacje, które zainstalowały którykolwiek ze złośliwych pakietów, powinny założyć, że doszło do naruszenia bezpieczeństwa. Wymagane działania obejmują natychmiastowe usunięcie zainfekowanych bibliotek, rotację wszystkich danych uwierzytelniających dostępnych w środowisku aplikacji oraz dokładny audyt ruchu sieciowego wychodzącego pod kątem prób połączeń ze zidentyfikowaną infrastrukturą C2.

Brak zdecydowanej reakcji może sprawić, że systemy staną się podatne na ponowny dostęp atakujących, jeśli infrastruktura dowodzenia i kontroli znów zacznie działać.

Popularne

Najczęściej oglądane

Ładowanie...