Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerni paketi PHP Packagist

Zlonamerni paketi PHP Packagist

Do leta Mezo leta Zlonamerna programska oprema
Prevedi v:

Analitiki kibernetske varnosti so na Packagistu odkrili zlonamerne pakete PHP, ki se izdajajo za legitimne pomožne knjižnice Laravel, hkrati pa prikrito nameščajo trojanca za oddaljeni dostop (RAT), ki deluje na več platformah. Zlonamerna programska oprema deluje brezhibno v okoljih Windows, macOS in Linux, kar ustvarja znatno tveganje za prizadete sisteme.

Identificirani paketi vključujejo:

  • nhattuanbl/lara-helper (37 prenosov)
  • nhattuanbl/simple-queue (29 prenosov)
  • nhattuanbl/lara-swagger (49 prenosov)

Čeprav nhattuanbl/lara-swagger ne vsebuje neposredno zlonamerne kode, navaja nhattuanbl/lara-helper kot odvisnost Composerja, kar povzroči namestitev vgrajenega RAT-a. Kljub javnemu razkritju so ti paketi še vedno dostopni v repozitoriju in jih je treba takoj odstraniti iz vseh prizadetih okolij.

Taktike zakrivanja prikrivajo zlonamerne namene

Podrobna analiza kode kaže, da tako lara-helper kot simple-queue vsebujeta datoteko z imenom src/helper.php, ki je zasnovana tako, da se izogne zaznavanju. Zlonamerna programska oprema vključuje napredne strategije zakrivanja, vključno z manipulacijo pretoka nadzora, kodiranimi imeni domen in ukaznimi nizi, skritimi potmi datotek ter naključnimi identifikatorji spremenljivk in funkcij.

Te tehnike znatno otežujejo statično analizo in pomagajo, da zlonamerni koristni tovor zaobide običajna orodja za pregledovanje kode in avtomatizirana orodja za varnostno skeniranje.

Infrastruktura za upravljanje in nadzor omogoča popoln prevzem gostitelja

Ko se RAT izvede, vzpostavi povezavo s strežnikom za upravljanje in nadzor (C2) na naslovu helper.leuleu.net na vratih 2096. Pošlje podatke o sistemskem izvidovanju in vstopi v stanje trajnega poslušanja, kjer čaka na nadaljnja navodila. Komunikacija poteka prek TCP-ja z uporabo funkcije stream_socket_client() v PHP.

Zadnja vrata podpirajo širok nabor ukazov, ki jih izda operater, kar omogoča popoln nadzor nad sistemom. Zmogljivosti vključujejo:

  • Samodejni srčni utrip signalizira vsakih 60 sekund prek pinga.
  • Prenos podatkov o profiliranju sistema prek informacij.
  • Izvajanje ukazov lupine (cmd).
  • Izvajanje ukazov PowerShell (powershell).
  • Izvajanje ukazov v ozadju (zaženi).
  • Zajem zaslona z uporabo funkcije imagegrabscreen() (posnetek zaslona).
  • Izločanje datotek (prenos).
  • Poljubno nalaganje datotek z dovoljenji za branje, pisanje in izvajanje, dodeljenimi vsem uporabnikom (nalaganje).
  • Prekinitev in izhod povezave (ustavitev).

Za povečanje zanesljivosti RAT preveri konfiguracijo PHP disable_functions in izbere prvo razpoložljivo metodo izvajanja med naslednjimi: popen, proc_open, exec, shell_exec, system ali passthru. Ta prilagodljivi pristop mu omogoča, da obide običajne ukrepe za utrjevanje PHP.

Vztrajni mehanizem ponovne povezave povečuje tveganje

Čeprav se identificirani strežnik C2 trenutno ne odziva, je zlonamerna programska oprema programirana tako, da v neprekinjeni zanki poskuša vzpostaviti povezavo vsakih 15 sekund. Ta mehanizem vztrajnosti zagotavlja, da ogroženi sistemi ostanejo izpostavljeni, če napadalec ponovno vzpostavi razpoložljivost strežnika.

Vsaka Laravel aplikacija, v kateri je nameščen lara-helper ali simple-queue, dejansko deluje z vgrajenim RAT-om. Grožnjec pridobi popoln dostop do oddaljene lupine, možnost branja in spreminjanja poljubnih datotek ter stalen vpogled v podrobnosti na sistemski ravni za vsak okuženi gostitelj.

Kontekst izvedbe poveča vpliv

Aktivacija se izvede samodejno med zagonom aplikacije prek ponudnika storitev ali prek samodejnega nalaganja razredov v primeru preproste čakalne vrste. Posledično se RAT izvaja znotraj istega procesa kot spletna aplikacija in podeduje enaka dovoljenja datotečnega sistema in spremenljivke okolja.

Ta kontekst izvajanja napadalcu omogoča dostop do občutljivih sredstev, kot so poverilnice baze podatkov, ključi API-ja in vsebina datoteke .env. Kompromis se torej razteza preko nadzora na ravni sistema do popolnega razkritja skrivnosti aplikacij in dostopa do infrastrukture.

Strategija za gradnjo verodostojnosti s čistimi paketi

Nadaljnja preiskava je pokazala, da je isti založnik izdal dodatne pakete – nhattuanbl/lara-media, nhattuanbl/snooze in nhattuanbl/syslog – ki ne vsebujejo zlonamerne kode. Zdi se, da služijo kot artefakti za gradnjo ugleda, namenjeni povečanju zaupanja in spodbujanju uporabe orožnih paketov.

Takojšnji ukrepi za ublažitev in odzivanje

Organizacije, ki so namestile katerega koli od zlonamernih paketov, bi morale domnevati, da gre za ogroženo programsko opremo. Zahtevani odzivni ukrepi vključujejo takojšnjo odstranitev prizadetih knjižnic, rotacijo vseh poverilnic, dostopnih iz aplikacijskega okolja, in temeljit pregled odhodnega omrežnega prometa za poskuse vzpostavitve povezav z identificirano infrastrukturo C2.

Če se sistemi ne odzovejo odločno, so lahko ranljivi za ponovni dostop napadalcev, če infrastruktura za poveljevanje in nadzor ponovno postane operativna.

V trendu

Najbolj gledan

Nalaganje...