Попуст за више лиценци
Тхреат Датабасе Малваре Злонамерни пакети за пакете PHP

Злонамерни пакети за пакете PHP

До Mezo. у Малваре
Преведи на:

Аналитичари сајбер безбедности идентификовали су злонамерне PHP пакете на Packagist-у који се представљају као легитимне Laravel помоћне библиотеке док прикривено инсталирају тројанца за удаљени приступ (RAT) на више платформи. Злонамерни софтвер беспрекорно функционише у Windows, macOS и Linux окружењима, стварајући значајан ризик за погођене системе.

Идентификовани пакети укључују:

  • nhattuanbl/lara-helper (37 преузимања)
  • nhattuanbl/simple-queue (29 преузимања)
  • nhattuanbl/lara-swagger (49 преузимања)

Иако nhattuanbl/lara-swagger не садржи директно злонамерни код, наводи nhattuanbl/lara-helper као зависност Composer-а, што резултира инсталацијом уграђеног RAT-а. Упркос јавном објављивању, ови пакети остају доступни у репозиторијуму и треба их одмах уклонити из сваког погођеног окружења.

Тактике замагљивања прикривају злонамерну намеру

Детаљна анализа кода показује да и lara-helper и simple-queue садрже датотеку под називом src/helper.php, направљену да избегне откривање. Злонамерни софтвер укључује напредне стратегије обфускације, укључујући манипулацију током контроле, кодирана имена домена и командне низове, скривене путање датотека и насумични идентификатор променљивих и функција.

Ове технике значајно компликују статичку анализу и помажу злонамерном садржају да заобиђе конвенционалне алате за преглед кода и аутоматизоване алате за безбедносно скенирање.

Инфраструктура командовања и контроле омогућава потпуно преузимање домаћина

Једном извршен, RAT успоставља везу са командно-контролним (C2) сервером на helper.leuleu.net на порту 2096. Преноси податке о извиђању система и улази у стање сталног слушања, чекајући даља упутства. Комуникација се одвија преко TCP-а користећи PHP-ову функцију stream_socket_client().

Задња врата подржавају широк спектар команди које издаје оператер, омогућавајући потпуну контролу система. Могућности укључују:

  • Аутоматски сигнали откуцаја срца сваких 60 секунди путем пинга.
  • Пренос података о профилисању система путем инфо.
  • Извршавање команде шкољке (cmd).
  • Извршавање PowerShell команде (powershell).
  • Извршавање команде у позадини (покрени).
  • Снимање екрана помоћу функције imagegrabscreen() (снимак екрана).
  • Ексфилтрација датотека (преузимање).
  • Произвољно отпремање датотека са дозволама за читање, писање и извршавање додељеним свим корисницима (отпремање).
  • Прекид везе и излаз (стоп).

Да би се максимизирала поузданост, RAT проверава конфигурацију PHP disable_functions и бира први доступни метод извршавања из следећег: popen, proc_open, exec, shell_exec, system или passthru. Овај адаптивни приступ му омогућава да заобиђе уобичајене мере заштите PHP-а.

Механизам трајног поновног повезивања повећава ризик

Иако идентификовани C2 сервер тренутно не реагује, злонамерни софтвер је програмиран да поново покушава повезивање сваких 15 секунди у континуираној петљи. Овај механизам истрајности осигурава да угрожени системи остану изложени уколико нападач обнови доступност сервера.

Било која Laravel апликација која је инсталирала lara-helper или simple-queue ефикасно ради са уграђеним RAT-ом. Претња добија потпун приступ удаљеном окружењу, могућност читања и модификовања произвољних датотека и континуирани увид у детаље на нивоу система за сваки заражени хост.

Контекст извршења појачава утицај

Активација се одвија аутоматски током покретања апликације преко добављача услуга или путем аутоматског учитавања класа у случају једноставног реда чекања. Као резултат тога, RAT се извршава у оквиру истог процеса као и веб апликација, наслеђујући идентичне дозволе фајл система и променљиве окружења.

Овај контекст извршавања даје нападачу приступ осетљивим средствима као што су акредитиви базе података, API кључеви и садржај .env датотеке. Компромитовање се стога протеже изван контроле на нивоу система на потпуно откривање тајни апликације и приступа инфраструктури.

Стратегија изградње кредибилитета кроз чисте пакете

Даља истрага открива да је исти издавач објавио додатне пакете - nhattuanbl/lara-media, nhattuanbl/snooze и nhattuanbl/syslog - који не садрже злонамерни код. Чини се да ови пакети служе као артефакти за изградњу репутације, осмишљени да повећају поверење и подстакну усвајање ових пакета који представљају оружје.

Мере хитног ублажавања и реаговања

Организације које су инсталирале било који од злонамерних пакета требало би да претпоставе да је дошло до компромитовања. Потребне мере реаговања укључују тренутно уклањање погођених библиотека, ротацију свих акредитива доступних из окружења апликације и темељну ревизију одлазног мрежног саобраћаја за покушаје повезивања са идентификованом C2 инфраструктуром.

Недостатак одлучног реаговања може учинити системе рањивим на поновни приступ нападача ако инфраструктура командовања и контроле поново постане оперативна.

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
23,084
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...