Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Pachete PHP de tip „Malicious Packagist”

Pachete PHP de tip „Malicious Packagist”

Până în Mezo în Programe malware
Tradu in:

Analiștii în domeniul securității cibernetice au identificat pachete PHP rău intenționate pe Packagist care se dau drept biblioteci helper Laravel legitime, în timp ce implementează în mod ascuns un troian de acces la distanță (RAT) multiplatformă. Malware-ul funcționează perfect în mediile Windows, macOS și Linux, creând un risc semnificativ pentru sistemele afectate.

Pachetele identificate includ:

  • nhattuanbl/lara-helper (37 de descărcări)
  • nhattuanbl/simple-queue (29 descărcări)
  • nhattuanbl/lara-swagger (49 descărcări)

Deși nhattuanbl/lara-swagger nu conține direct cod malițios, listează nhattuanbl/lara-helper ca o dependență a Composerului, ceea ce duce la instalarea RAT-ului încorporat. În ciuda dezvăluirii publice, aceste pachete rămân accesibile în depozit și ar trebui eliminate imediat din orice mediu afectat.

Tacticile de ofuscare ascund intenția răuvoitoare

O analiză detaliată a codului arată că atât lara-helper, cât și simple-queue conțin un fișier numit src/helper.php, conceput pentru a evita detectarea. Malware-ul încorporează strategii avansate de ofuscare, inclusiv manipularea fluxului de control, nume de domeniu și șiruri de comenzi codificate, căi de fișiere ascunse și identificatori de variabile și funcții randomizate.

Aceste tehnici complică semnificativ analiza statică și ajută sarcina utilă malițioasă să ocolească instrumentele convenționale de revizuire a codului și instrumentele automate de scanare a securității.

Infrastructura de comandă și control permite preluarea completă a gazdei

Odată executat, RAT stabilește o conexiune la un server de comandă și control (C2) la adresa helper.leuleu.net pe portul 2096. Acesta transmite date de recunoaștere a sistemului și intră într-o stare de ascultare persistentă, așteptând instrucțiuni suplimentare. Comunicarea are loc prin TCP folosind funcția stream_socket_client() din PHP.

Ușa din spate acceptă o gamă largă de comenzi emise de operator, permițând controlul complet al sistemului. Capacitățile includ:

  • Semnale automate ale bătăilor inimii la fiecare 60 de secunde prin ping.
  • Transmiterea datelor de profilare a sistemului prin info.
  • Executarea comenzii shell (cmd).
  • Executarea comenzii PowerShell (powershell).
  • Executarea comenzii în fundal (run).
  • Captură de ecran folosind imagegrabscreen() (screenshot).
  • Exfiltrare fișiere (descărcare).
  • Încărcare arbitrară de fișiere cu permisiuni de citire, scriere și executare acordate tuturor utilizatorilor (încărcare).
  • Terminarea conexiunii și ieșirea (stop).

    • Pentru a maximiza fiabilitatea, RAT verifică configurația PHP disable_functions și selectează prima metodă de execuție disponibilă dintre următoarele: popen, proc_open, exec, shell_exec, system sau passthru. Această abordare adaptivă îi permite să ocolească măsurile comune de consolidare a securității PHP.

    Mecanismul persistent de reconectare crește riscul

    Deși serverul C2 identificat nu răspunde în prezent, malware-ul este programat să reîncerce conexiunile la fiecare 15 secunde într-o buclă continuă. Acest mecanism de persistență asigură că sistemele compromise rămân expuse în cazul în care atacatorul restabilește disponibilitatea serverului.

    Orice aplicație Laravel care a instalat lara-helper sau simple-queue funcționează efectiv cu un RAT încorporat. Actorul amenințător obține acces complet la shell de la distanță, capacitatea de a citi și modifica fișiere arbitrare și vizibilitate continuă asupra detaliilor la nivel de sistem pentru fiecare gazdă infectată.

    Contextul execuției amplifică impactul

    Activarea are loc automat în timpul pornirii aplicației prin intermediul unui furnizor de servicii sau prin încărcarea automată a claselor în cazul cozii simple. Drept urmare, RAT se execută în cadrul aceluiași proces ca și aplicația web, moștenind permisiuni identice pentru sistemul de fișiere și variabile de mediu.

    Acest context de execuție acordă atacatorului acces la resurse sensibile, cum ar fi acreditările bazei de date, cheile API și conținutul fișierului .env. Prin urmare, compromiterea se extinde dincolo de controlul la nivel de sistem, ajungând la expunerea completă a secretelor aplicației și la accesul la infrastructură.

    Strategie de consolidare a credibilității prin pachete curate

    Investigații ulterioare arată că același editor a lansat pachete suplimentare - nhattuanbl/lara-media, nhattuanbl/snooze și nhattuanbl/syslog - care nu conțin cod malițios. Acestea par să servească drept artefacte de consolidare a reputației, concepute pentru a spori încrederea și a încuraja adoptarea pachetelor transformate în arme.

    Măsuri imediate de atenuare și răspuns

    Organizațiile care au instalat oricare dintre pachetele rău intenționate ar trebui să presupună compromiterea securității. Acțiunile de răspuns necesare includ eliminarea imediată a bibliotecilor afectate, rotirea tuturor acreditărilor accesibile din mediul aplicației și un audit amănunțit al traficului de rețea de ieșire pentru tentativele de conectare la infrastructura C2 identificată.

    Lipsa unui răspuns decisiv poate lăsa sistemele vulnerabile la accesul reînnoit al atacatorilor dacă infrastructura de comandă și control devine din nou operațională.

    Trending

    Cele mai văzute

    Se încarcă...