బహుళ-లైసెన్స్ తగ్గింపు కోట్
బెదిరింపు డేటాబేస్ మాల్వేర్ హానికరమైన ప్యాకేజిస్ట్ PHP ప్యాకేజీలు

హానికరమైన ప్యాకేజిస్ట్ PHP ప్యాకేజీలు

మాల్వేర్లో Mezo నాటికి
దీనికి అనువదించండి:

సైబర్ సెక్యూరిటీ విశ్లేషకులు ప్యాకేజిస్ట్‌లో హానికరమైన PHP ప్యాకేజీలను గుర్తించారు, ఇవి చట్టబద్ధమైన లారావెల్ హెల్పర్ లైబ్రరీలను అనుకరిస్తూ రహస్యంగా క్రాస్-ప్లాట్‌ఫారమ్ రిమోట్ యాక్సెస్ ట్రోజన్ (RAT)ను అమలు చేస్తున్నాయి. ఈ మాల్వేర్ విండోస్, మాకోస్ మరియు లైనక్స్ పరిసరాలలో సజావుగా పనిచేస్తుంది, ప్రభావిత వ్యవస్థలకు గణనీయమైన ప్రమాదాన్ని సృష్టిస్తుంది.

గుర్తించబడిన ప్యాకేజీలలో ఇవి ఉన్నాయి:

  • nhattuanbl/lara-helper (37 డౌన్‌లోడ్‌లు)
  • nhattuanbl/simple-queue (29 డౌన్‌లోడ్‌లు)
  • nhattuanbl/lara-swagger (49 డౌన్‌లోడ్‌లు)

nhattuanbl/lara-swagger లో నేరుగా హానికరమైన కోడ్ లేనప్పటికీ, ఇది nhattuanbl/lara-helper ను కంపోజర్ డిపెండెన్సీగా జాబితా చేస్తుంది, దీని ఫలితంగా ఎంబెడెడ్ RAT యొక్క ఇన్‌స్టాలేషన్ జరుగుతుంది. బహిరంగంగా బహిర్గతం చేసినప్పటికీ, ఈ ప్యాకేజీలు రిపోజిటరీలో అందుబాటులో ఉంటాయి మరియు ఏదైనా ప్రభావిత వాతావరణం నుండి వెంటనే తీసివేయబడాలి.

అస్పష్టత వ్యూహాలు దురుద్దేశాన్ని దాచిపెడతాయి

వివరణాత్మక కోడ్ విశ్లేషణ ప్రకారం, లారా-హెల్పర్ మరియు సింపుల్-క్యూ రెండూ గుర్తింపును తప్పించుకోవడానికి రూపొందించబడిన src/helper.php అనే ఫైల్‌ను కలిగి ఉన్నాయి. ఈ మాల్వేర్ కంట్రోల్ ఫ్లో మానిప్యులేషన్, ఎన్‌కోడ్ చేసిన డొమైన్ పేర్లు మరియు కమాండ్ స్ట్రింగ్‌లు, దాచిన ఫైల్ పాత్‌లు మరియు యాదృచ్ఛిక వేరియబుల్ మరియు ఫంక్షన్ ఐడెంటిఫైయర్‌లతో సహా అధునాతన అస్పష్టత వ్యూహాలను కలిగి ఉంటుంది.

ఈ పద్ధతులు స్టాటిక్ విశ్లేషణను గణనీయంగా క్లిష్టతరం చేస్తాయి మరియు హానికరమైన పేలోడ్ సంప్రదాయ కోడ్ సమీక్ష మరియు ఆటోమేటెడ్ సెక్యూరిటీ స్కానింగ్ సాధనాలను దాటవేయడంలో సహాయపడతాయి.

కమాండ్-అండ్-కంట్రోల్ ఇన్ఫ్రాస్ట్రక్చర్ పూర్తి హోస్ట్ టేకోవర్‌ను ప్రారంభిస్తుంది

అమలు చేసిన తర్వాత, RAT పోర్ట్ 2096 లోని helper.leuleu.net వద్ద కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌కు కనెక్షన్‌ను ఏర్పాటు చేస్తుంది. ఇది సిస్టమ్ నిఘా డేటాను ప్రసారం చేస్తుంది మరియు తదుపరి సూచనల కోసం వేచి ఉండి నిరంతర శ్రవణ స్థితిలోకి ప్రవేశిస్తుంది. PHP యొక్క stream_socket_client() ఫంక్షన్‌ని ఉపయోగించి TCP ద్వారా కమ్యూనికేషన్ జరుగుతుంది.

బ్యాక్‌డోర్ ఆపరేటర్ జారీ చేసిన ఆదేశాలకు విస్తృత శ్రేణికి మద్దతు ఇస్తుంది, ఇది పూర్తి సిస్టమ్ నియంత్రణను అనుమతిస్తుంది. సామర్థ్యాలలో ఇవి ఉన్నాయి:

  • పింగ్ ద్వారా ప్రతి 60 సెకన్లకు ఆటోమేటెడ్ హృదయ స్పందన సంకేతాలు.
  • సమాచారం ద్వారా సిస్టమ్ ప్రొఫైలింగ్ డేటాను ప్రసారం చేయడం.
  • షెల్ కమాండ్ అమలు (cmd).
  • పవర్‌షెల్ కమాండ్ అమలు (పవర్‌షెల్).
  • నేపథ్య కమాండ్ అమలు (రన్).
  • imagegrabscreen() (స్క్రీన్‌షాట్) ఉపయోగించి స్క్రీన్ క్యాప్చర్.
  • ఫైల్ ఎక్స్‌ఫిల్ట్రేషన్ (డౌన్‌లోడ్).
  • అందరు వినియోగదారులకు (అప్‌లోడ్) మంజూరు చేయబడిన చదవడం, వ్రాయడం మరియు అమలు చేయడం వంటి అనుమతులతో ఏకపక్ష ఫైల్ అప్‌లోడ్.
  • కనెక్షన్ ముగింపు మరియు నిష్క్రమణ (ఆపు).

    • విశ్వసనీయతను పెంచడానికి, RAT PHP disable_functions కాన్ఫిగరేషన్‌ను తనిఖీ చేస్తుంది మరియు కింది వాటి నుండి అందుబాటులో ఉన్న మొదటి అమలు పద్ధతిని ఎంచుకుంటుంది: popen, proc_open, exec, shell_exec, system, లేదా passthru. ఈ అనుకూల విధానం సాధారణ PHP గట్టిపడే చర్యలను దాటవేయడానికి అనుమతిస్తుంది.

    నిరంతర పునఃసంయోగ విధానం ప్రమాదాన్ని పెంచుతుంది

    గుర్తించబడిన C2 సర్వర్ ప్రస్తుతం స్పందించనప్పటికీ, మాల్వేర్ నిరంతర లూప్‌లో ప్రతి 15 సెకన్లకు కనెక్షన్‌లను మళ్లీ ప్రయత్నించడానికి ప్రోగ్రామ్ చేయబడింది. దాడి చేసే వ్యక్తి సర్వర్ లభ్యతను పునరుద్ధరించినట్లయితే రాజీపడిన వ్యవస్థలు బహిర్గతమయ్యేలా ఈ నిలకడ విధానం నిర్ధారిస్తుంది.

    లారా-హెల్పర్ లేదా సింపుల్-క్యూను ఇన్‌స్టాల్ చేసిన ఏదైనా లారావెల్ అప్లికేషన్ ఎంబెడెడ్ RATతో సమర్థవంతంగా పనిచేస్తోంది. థ్రెట్ యాక్టర్ పూర్తి రిమోట్ షెల్ యాక్సెస్, ఏకపక్ష ఫైల్‌లను చదవగల మరియు సవరించగల సామర్థ్యం మరియు ప్రతి ఇన్‌ఫెక్ట్ చేయబడిన హోస్ట్ కోసం సిస్టమ్-స్థాయి వివరాలలో నిరంతర దృశ్యమానతను పొందుతుంది.

    అమలు సందర్భం ప్రభావాన్ని పెంచుతుంది

    అప్లికేషన్ బూట్ సమయంలో సర్వీస్ ప్రొవైడర్ ద్వారా లేదా సింపుల్-క్యూ విషయంలో క్లాస్ ఆటోలోడింగ్ ద్వారా యాక్టివేషన్ స్వయంచాలకంగా జరుగుతుంది. ఫలితంగా, RAT వెబ్ అప్లికేషన్ వలె అదే ప్రక్రియలోనే అమలు చేస్తుంది, ఒకేలాంటి ఫైల్‌సిస్టమ్ అనుమతులు మరియు ఎన్విరాన్‌మెంట్ వేరియబుల్స్‌ను వారసత్వంగా పొందుతుంది.

    ఈ అమలు సందర్భం దాడి చేసేవారికి డేటాబేస్ ఆధారాలు, API కీలు మరియు .env ఫైల్ యొక్క కంటెంట్‌లు వంటి సున్నితమైన ఆస్తులకు యాక్సెస్‌ను అనుమతిస్తుంది. అందువల్ల రాజీ సిస్టమ్-స్థాయి నియంత్రణకు మించి అప్లికేషన్ రహస్యాలు మరియు మౌలిక సదుపాయాల యాక్సెస్‌ను పూర్తిగా బహిర్గతం చేయడం వరకు విస్తరించింది.

    క్లీన్ ప్యాకేజీల ద్వారా విశ్వసనీయత-నిర్మాణ వ్యూహం

    తదుపరి దర్యాప్తులో అదే ప్రచురణకర్త హానికరమైన కోడ్‌ను కలిగి లేని అదనపు ప్యాకేజీలను - nhattuanbl/lara-media, nhattuanbl/snooze, మరియు nhattuanbl/syslog - విడుదల చేసినట్లు వెల్లడైంది. ఇవి నమ్మకాన్ని పెంచడానికి మరియు ఆయుధీకరించబడిన ప్యాకేజీల స్వీకరణను ప్రోత్సహించడానికి రూపొందించబడిన ఖ్యాతిని పెంచే కళాఖండాలుగా పనిచేస్తున్నట్లు కనిపిస్తాయి.

    తక్షణ తగ్గింపు మరియు ప్రతిస్పందన చర్యలు

    ఏదైనా హానికరమైన ప్యాకేజీలను ఇన్‌స్టాల్ చేసిన సంస్థలు రాజీ పడాలని భావించాలి. అవసరమైన ప్రతిస్పందన చర్యలలో ప్రభావిత లైబ్రరీలను వెంటనే తొలగించడం, అప్లికేషన్ ఎన్విరాన్‌మెంట్ నుండి యాక్సెస్ చేయగల అన్ని ఆధారాలను తిప్పడం మరియు గుర్తించబడిన C2 ఇన్‌ఫ్రాస్ట్రక్చర్‌కు ప్రయత్నించిన కనెక్షన్‌ల కోసం అవుట్‌బౌండ్ నెట్‌వర్క్ ట్రాఫిక్ యొక్క పూర్తి ఆడిట్ ఉన్నాయి.

    కమాండ్-అండ్-కంట్రోల్ మౌలిక సదుపాయాలు తిరిగి పనిచేయడం ప్రారంభించినట్లయితే, నిర్ణయాత్మకంగా స్పందించడంలో విఫలమైతే, వ్యవస్థలు పునరుద్ధరించబడిన దాడి చేసేవారి యాక్సెస్‌కు గురయ్యే అవకాశం ఉంది.

    ట్రెండింగ్‌లో ఉంది

    Dohdoor Backdoor

    వెనుక తలుపులు, అధునాతన పెర్సిస్టెంట్ థ్రెట్ (APT)
    గతంలో నమోదుకాని బెదిరింపు కార్యకలాపాల సమూహం, కనీసం డిసెంబర్ 2025 నుండి యునైటెడ్ స్టేట్స్ అంతటా విద్య మరియు ఆరోగ్య సంరక్షణ రంగాలను లక్ష్యంగా చేసుకుని కొనసాగుతున్న హానికరమైన ప్రచారంతో ముడిపడి ఉంది....

    Getfastbrowser.download

    రోగ్ వెబ్‌సైట్‌లు, అవాంఛిత ప్రోగ్రామ్‌లు
    మీ పరికరాలను అనుచితమైన మరియు నమ్మదగని అప్లికేషన్ల నుండి రక్షించడం ఇకపై ఐచ్ఛికం కాదు, ఇది చాలా అవసరం. సంభావ్య అవాంఛిత ప్రోగ్రామ్‌లు (PUPలు) మొదటి చూపులో హానిచేయనివిగా అనిపించవచ్చు, కానీ అవి బ్రౌజర్...

    కిమ్చి ఎయిర్‌డ్రాప్ స్కామ్

    రోగ్ వెబ్‌సైట్‌లు
    నేటి డిజిటల్ రంగం లో, వెబ్ బ్రౌజ్ చేస్తున్నప్పుడు జాగ్రత్త వహించడం గతంలో కంటే చాలా ముఖ్యం. సైబర్ నేరస్థులు నిరంతరం తమ వ్యూహాలను మెరుగుపరుచుకుంటూ, ఉత్సుకత మరియు సులభమైన బహుమతుల వాగ్దానాన్ని ఎర వేసే...

    అత్యంత వీక్షించబడిన

    మాల్వేర్

    ఫిషింగ్, స్పామ్
    23,084
    'Apple Pay సస్పెండ్ చేయబడింది' స్కామ్ సందేశం Apple Pay వినియోగదారులను లక్ష్యంగా చేసుకునే ఒక రకమైన ఫిషింగ్ వ్యూహం. యూజర్ యొక్క Apple Pay వాలెట్ తాత్కాలికంగా నిలిపివేయబడిందని మరియు దానిని పునరుద్ధరించడానికి లింక్‌ను క్లిక్ చేయమని సందేశం పేర్కొంది. అయితే, లింక్‌పై క్లిక్ చేయడం ద్వారా వినియోగదారు వారి వ్యక్తిగత మరియు ఆర్థిక సమాచారాన్ని దొంగిలించడానికి రూపొందించబడిన నకిలీ వెబ్‌సైట్‌కి...
    'గీక్ స్క్వాడ్' ఇమెయిల్ స్కామ్ స్క్రీన్ షాట్

    'గీక్ స్క్వాడ్' ఇమెయిల్ స్కామ్

    ఫిషింగ్, స్పామ్
    21,491
    గీక్ స్క్వాడ్, ప్రముఖ టెక్ సపోర్ట్ ప్రొవైడర్, గీక్ స్క్వాడ్ ఇమెయిల్ స్కామ్ అనే ఫిషింగ్ స్కామ్‌కు బాధితురాలిగా మారింది. ఈ టెక్ సపోర్ట్ స్కామ్ నకిలీ ఇమెయిల్‌లను ఉపయోగిస్తుంది, ఇది క్రెడిట్ కార్డ్...

    ఎపోర్నర్.కామ్

    సమస్య
    20,200
    ఇంటర్నెట్ అనేది ఉపయోగకరమైన కంటెంట్, వినోదం మరియు సమాచారంతో నిండిన విస్తారమైన స్థలం - కానీ దానిలో దాని చీకటి కోణాలు కూడా ఉన్నాయి. మీరు ఒక షోను ప్రసారం చేస్తున్నా, యాప్‌ను డౌన్‌లోడ్ చేస్తున్నా లేదా...
    లోడ్...