Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Paketa PHP të Packagist keqdashëse

Paketa PHP të Packagist keqdashëse

Nga MezoMalware
Përkthe në:

Analistët e sigurisë kibernetike kanë identifikuar paketa keqdashëse PHP në Packagist që imitojnë bibliotekat ndihmëse legjitime të Laravel, ndërsa vendosin fshehurazi një Trojan me Qasje në Distancë (RAT) ndërplatformë. Malware funksionon pa probleme në mjediset Windows, macOS dhe Linux, duke krijuar rrezik të konsiderueshëm për sistemet e prekura.

Paketat e identifikuara përfshijnë:

  • nhattuanbl/lara-helper (37 shkarkime)
  • nhattuanbl/simple-queue (29 shkarkime)
  • nhattuanbl/lara-swagger (49 shkarkime)

Edhe pse nhattuanbl/lara-swagger nuk përmban drejtpërdrejt kod të dëmshëm, ai e liston nhattuanbl/lara-helper si një varësi të Composer, gjë që rezulton në instalimin e RAT-it të integruar. Pavarësisht zbulimit publik, këto paketa mbeten të arritshme në depo dhe duhet të hiqen menjëherë nga çdo mjedis i prekur.

Taktikat e errësirës fshehin qëllimin keqdashës

Analiza e detajuar e kodit tregon se si lara-helper ashtu edhe simple-queue përmbajnë një skedar të quajtur src/helper.php të projektuar për të shmangur zbulimin. Softueri keqdashës përfshin strategji të avancuara të errësimit, duke përfshirë manipulimin e rrjedhës së kontrollit, emrat e domeneve të koduar dhe vargjet e komandave, shtigjet e fshehura të skedarëve dhe identifikuesit e variablave dhe funksioneve të rastësishme.

Këto teknika e ndërlikojnë ndjeshëm analizën statike dhe e ndihmojnë ngarkesën dashakeqe të anashkalojë shqyrtimin konvencional të kodit dhe mjetet e automatizuara të skanimit të sigurisë.

Infrastruktura e Komandës dhe Kontrollit Mundëson Marrjen e Plotë të Hostit

Pasi ekzekutohet, RAT krijon një lidhje me një server komande-dhe-kontrolli (C2) në helper.leuleu.net në portin 2096. Ai transmeton të dhëna zbulimi të sistemit dhe hyn në një gjendje dëgjimi të vazhdueshme, duke pritur udhëzime të mëtejshme. Komunikimi ndodh nëpërmjet TCP duke përdorur funksionin stream_socket_client() të PHP-së.

Dera e pasme mbështet një gamë të gjerë komandash të lëshuara nga operatori, duke mundësuar kontroll të plotë të sistemit. Aftësitë përfshijnë:

  • Sinjale automatike të rrahjeve të zemrës çdo 60 sekonda nëpërmjet pingut.
  • Transmetimi i të dhënave të profilizimit të sistemit përmes informacionit.
  • Ekzekutimi i komandës Shell (cmd).
  • Ekzekutimi i komandës PowerShell (powershell).
  • Ekzekutimi i komandës në sfond (ekzekutim).
  • Kapja e ekranit duke përdorur imagegrabscreen() (pamje e ekranit).
  • Ekfiltrimi i skedarit (shkarkimi).
  • Ngarkim arbitrar i skedarëve me leje leximi, shkrimi dhe ekzekutimi të dhëna të gjithë përdoruesve (ngarkim).
  • Përfundimi i lidhjes dhe dalja (ndalim).

Për të maksimizuar besueshmërinë, RAT kontrollon konfigurimin e PHP disable_functions dhe zgjedh metodën e parë të ekzekutimit të disponueshme nga metodat e mëposhtme: popen, proc_open, exec, shell_exec, system ose passthru. Kjo qasje adaptive i lejon asaj të anashkalojë masat e zakonshme të forcimit të PHP.

Mekanizmi i rilidhjes së vazhdueshme rrit rrezikun

Edhe pse serveri i identifikuar C2 aktualisht nuk përgjigjet, programi keqdashës është programuar të riprovojë lidhjet çdo 15 sekonda në një cikël të vazhdueshëm. Ky mekanizëm këmbënguljeje siguron që sistemet e kompromentuara të mbeten të ekspozuara nëse sulmuesi rivendos disponueshmërinë e serverit.

Çdo aplikacion Laravel që ka instaluar lara-helper ose simple-queue funksionon në mënyrë efektive me një RAT të integruar. Aktori kërcënues fiton akses të plotë në shell-in e largët, aftësinë për të lexuar dhe modifikuar skedarë arbitrarë dhe shikueshmëri të vazhdueshme në detajet në nivel sistemi për secilin host të infektuar.

Konteksti i Ekzekutimit Përforcon Ndikimin

Aktivizimi ndodh automatikisht gjatë nisjes së aplikacionit nëpërmjet një ofruesi shërbimi ose nëpërmjet ngarkimit automatik të klasës në rastin e radhës së thjeshtë. Si rezultat, RAT ekzekutohet brenda të njëjtit proces si aplikacioni web, duke trashëguar leje identike të sistemit të skedarëve dhe variabla mjedisorë.

Ky kontekst ekzekutimi i jep sulmuesit akses në asete të ndjeshme, të tilla si kredencialet e bazës së të dhënave, çelësat API dhe përmbajtja e skedarit .env. Prandaj, kompromentimi shtrihet përtej kontrollit në nivel sistemi deri në ekspozimin e plotë të sekreteve të aplikacionit dhe aksesin në infrastrukturë.

Strategjia e Ndërtimit të Besueshmërisë përmes Paketave të Pastra

Hetimet e mëtejshme zbulojnë se i njëjti botues ka publikuar paketa shtesë - nhattuanbl/lara-media, nhattuanbl/snooze dhe nhattuanbl/syslog - të cilat nuk përmbajnë kod të dëmshëm. Këto duket se shërbejnë si artefakte ndërtimi reputacioni të dizajnuara për të rritur besimin dhe për të inkurajuar miratimin e paketave të armatosura.

Masat e menjëhershme të zbutjes dhe reagimit

Organizatat që instaluan ndonjë nga paketat keqdashëse duhet të supozojnë kompromentim. Veprimet e kërkuara të reagimit përfshijnë heqjen e menjëhershme të bibliotekave të prekura, rrotullimin e të gjitha kredencialeve të arritshme nga mjedisi i aplikacionit dhe një auditim të plotë të trafikut të rrjetit dalës për lidhjet e tentuara me infrastrukturën e identifikuar C2.

Mosreagimi me vendosmëri mund t’i lërë sistemet të cenueshme ndaj aksesit të ripërtërirë të sulmuesve nëse infrastruktura e komandës dhe kontrollit bëhet përsëri funksionale.

Në trend

Më e shikuara

Po ngarkohet...