Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Pacotes PHP maliciosos do Packagist

Pacotes PHP maliciosos do Packagist

Por Mezo em Malware
Traduzir Para:

Analistas de cibersegurança identificaram pacotes PHP maliciosos no Packagist que se fazem passar por bibliotecas auxiliares legítimas do Laravel, enquanto implantam secretamente um Trojan de Acesso Remoto (RAT) multiplataforma. O malware opera perfeitamente em ambientes Windows, macOS e Linux, criando um risco significativo para os sistemas afetados.

Os pacotes identificados incluem:

  • nhattuanbl/lara-helper (37 downloads)
  • nhattuanbl/fila-simples (29 downloads)
  • nhattuanbl/lara-swagger (49 downloads)

Embora o pacote nhattuanbl/lara-swagger não contenha código malicioso diretamente, ele lista o pacote nhattuanbl/lara-helper como uma dependência do Composer, o que resulta na instalação do RAT embutido. Apesar da divulgação pública, esses pacotes permanecem acessíveis no repositório e devem ser removidos imediatamente de qualquer ambiente afetado.

Táticas de ofuscação ocultam intenções maliciosas.

Uma análise detalhada do código mostra que tanto o lara-helper quanto o simple-queue contêm um arquivo chamado src/helper.php, projetado para evitar a detecção. O malware incorpora estratégias avançadas de ofuscação, incluindo manipulação do fluxo de controle, nomes de domínio e strings de comando codificados, caminhos de arquivo ocultos e identificadores de variáveis e funções aleatórios.

Essas técnicas complicam significativamente a análise estática e ajudam a carga maliciosa a contornar a revisão de código convencional e as ferramentas automatizadas de varredura de segurança.

A infraestrutura de comando e controle permite a tomada total do controle do host.

Uma vez executado, o RAT estabelece uma conexão com um servidor de comando e controle (C2) em helper.leuleu.net na porta 2096. Ele transmite dados de reconhecimento do sistema e entra em um estado de escuta persistente, aguardando novas instruções. A comunicação ocorre via TCP usando a função stream_socket_client() do PHP.

A porta dos fundos suporta uma ampla gama de comandos emitidos pelo operador, permitindo o controle total do sistema. As funcionalidades incluem:

  • Sinais automáticos de batimentos cardíacos a cada 60 segundos via ping.
  • Transmissão de dados de perfil do sistema através de informações.
  • Execução de comandos do shell (cmd).
  • Execução de comandos do PowerShell (powershell).
  • Execução de comandos em segundo plano (run).
  • Captura de tela usando imagegrabscreen() (captura de tela).
  • Exfiltração de arquivos (download).
  • Upload de arquivos arbitrários com permissões de leitura, gravação e execução concedidas a todos os usuários (upload).
  • Encerramento da conexão e saída (parar).

Para maximizar a confiabilidade, o RAT verifica a configuração `disable_functions` do PHP e seleciona o primeiro método de execução disponível dentre os seguintes: `popen`, `proc_open`, `exec`, `shell_exec`, `system` ou `passthru`. Essa abordagem adaptativa permite que ele contorne as medidas comuns de segurança do PHP.

O mecanismo de reconexão persistente aumenta o risco.

Embora o servidor C2 identificado esteja atualmente inativo, o malware está programado para tentar novas conexões a cada 15 segundos em um loop contínuo. Esse mecanismo de persistência garante que os sistemas comprometidos permaneçam expostos caso o atacante restaure a disponibilidade do servidor.

Qualquer aplicação Laravel que tenha instalado lara-helper ou simple-queue está, na prática, operando com um RAT embutido. O invasor obtém acesso remoto completo ao shell, a capacidade de ler e modificar arquivos arbitrários e visibilidade contínua dos detalhes do sistema para cada host infectado.

O contexto de execução amplifica o impacto.

A ativação ocorre automaticamente durante a inicialização do aplicativo por meio de um provedor de serviços ou através do carregamento automático de classes no caso do simple-queue. Como resultado, o RAT é executado no mesmo processo que o aplicativo web, herdando as mesmas permissões de sistema de arquivos e variáveis de ambiente.

Esse contexto de execução concede ao atacante acesso a recursos sensíveis, como credenciais de banco de dados, chaves de API e conteúdo do arquivo .env. Portanto, a violação vai além do controle em nível de sistema, expondo completamente os segredos da aplicação e o acesso à infraestrutura.

Estratégia para construir credibilidade por meio de apresentações claras e objetivas.

Investigações adicionais revelam que o mesmo editor lançou pacotes adicionais — nhattuanbl/lara-media, nhattuanbl/snooze e nhattuanbl/syslog — que não contêm código malicioso. Aparentemente, esses pacotes servem como ferramentas para construir reputação, visando aumentar a confiança e incentivar a adoção dos pacotes maliciosos.

Medidas imediatas de mitigação e resposta

Organizações que instalaram qualquer um dos pacotes maliciosos devem presumir que sua infraestrutura foi comprometida. As ações de resposta necessárias incluem a remoção imediata das bibliotecas afetadas, a rotação de todas as credenciais acessíveis a partir do ambiente de aplicação e uma auditoria completa do tráfego de rede de saída em busca de tentativas de conexão com a infraestrutura de comando e controle (C2) identificada.

A falta de uma resposta decisiva pode deixar os sistemas vulneráveis a um novo acesso de atacantes, caso a infraestrutura de comando e controle volte a funcionar.

Tendendo

Mais visto

Carregando...