Mga Pakete ng PHP na Malicious Packagist

Natukoy ng mga cybersecurity analyst ang mga malisyosong PHP package sa Packagist na nagpapanggap na lehitimong Laravel helper library habang palihim na nagde-deploy ng cross-platform na Remote Access Trojan (RAT). Ang malware ay gumagana nang maayos sa mga kapaligirang Windows, macOS, at Linux, na lumilikha ng malaking panganib para sa mga apektadong sistema.

Ang mga natukoy na pakete ay kinabibilangan ng:

• nhattuanbl/lara-helper (37 na pag-download)
• nhattuanbl/simple-queue (29 na pag-download)
• nhattuanbl/lara-swagger (49 na pag-download)

Bagama't hindi direktang naglalaman ang nhattuanbl/lara-swagger ng malisyosong code, inililista nito ang nhattuanbl/lara-helper bilang isang Composer dependency, na nagreresulta sa pag-install ng naka-embed na RAT. Sa kabila ng pagsisiwalat sa publiko, ang mga paketeng ito ay nananatiling naa-access sa repository at dapat na agad na alisin mula sa anumang apektadong kapaligiran.

Mga Taktika sa Paglilihim Itago ang Malisyosong Layunin

Ipinapakita ng detalyadong pagsusuri ng code na ang parehong lara-helper at simple-queue ay naglalaman ng isang file na pinangalanang src/helper.php na ginawa upang maiwasan ang pagtuklas. Isinasama ng malware ang mga advanced na estratehiya sa obfuscation, kabilang ang control flow manipulation, mga naka-encode na domain name at command string, mga concealed file path, at mga randomized variable at function identifier.

Ang mga pamamaraang ito ay lubos na nagpapakomplikado sa static analysis at nakakatulong sa malisyosong payload na malampasan ang maginoo na pagsusuri ng code at mga automated na tool sa pag-scan ng seguridad.

Pinapagana ng Imprastraktura ng Command-and-Control ang Pag-takeover ng Buong Host

Kapag naisagawa na, ang RAT ay nagtatatag ng koneksyon sa isang command-and-control (C2) server sa helper.lelele.net sa port 2096. Nagpapadala ito ng data ng system reconnaissance at pumapasok sa isang persistent listening state, naghihintay ng karagdagang mga tagubilin. Ang komunikasyon ay nangyayari sa pamamagitan ng TCP gamit ang stream_socket_client() function ng PHP.

Sinusuportahan ng backdoor ang malawak na hanay ng mga utos na inisyu ng operator, na nagbibigay-daan sa ganap na kontrol ng sistema. Kabilang sa mga kakayahan ang:

• Awtomatikong nagbibigay ng mga senyales ng tibok ng puso kada 60 segundo sa pamamagitan ng ping.
• Pagpapadala ng datos ng pag-profile ng sistema sa pamamagitan ng impormasyon.
• Pagpapatupad ng utos ng Shell (cmd).
• Pagpapatupad ng utos ng PowerShell (powershell).
• Pagpapatupad ng utos sa background (pagtakbo).
• Pagkuha ng screen gamit ang imagegrabscreen() (screenshot).

• Pag-exfiltrate ng file (pag-download).

• Arbitraryong pag-upload ng file na may mga pahintulot na basahin, isulat, at isagawa na ipinagkakaloob sa lahat ng mga user (upload).

• Pagtatapos at paglabas ng koneksyon (paghinto).

Para mapakinabangan ang pagiging maaasahan, sinusuri ng RAT ang configuration ng PHP disable_functions at pinipili ang unang magagamit na paraan ng pagpapatupad mula sa mga sumusunod: popen, proc_open, exec, shell_exec, system, o passthru. Ang adaptive approach na ito ay nagbibigay-daan dito na malampasan ang mga karaniwang hakbang sa pagpapatigas ng PHP.

Ang Patuloy na Mekanismo ng Muling Pagkonekta ay Nagpapataas ng Panganib

Bagama't ang natukoy na C2 server ay kasalukuyang hindi tumutugon, ang malware ay nakaprograma na subukang muli ang mga koneksyon bawat 15 segundo nang tuloy-tuloy. Tinitiyak ng mekanismong ito ng persistence na mananatiling nakalantad ang mga nakompromisong sistema kung sakaling maibalik ng attacker ang availability ng server.

Anumang aplikasyon ng Laravel na naka-install ng lara-helper o simple-queue ay epektibong gumagana gamit ang isang naka-embed na RAT. Ang threat actor ay makakakuha ng ganap na remote shell access, ang kakayahang magbasa at magbago ng mga arbitraryong file, at patuloy na visibility sa mga detalye sa antas ng system para sa bawat nahawaang host.

Pinapalakas ng Konteksto ng Pagpapatupad ang Epekto

Awtomatikong nangyayari ang pag-activate habang nagbo-boot ang application sa pamamagitan ng isang service provider o sa pamamagitan ng class autoloading sa kaso ng simple-queue. Bilang resulta, ang RAT ay isinasagawa sa loob ng parehong proseso gaya ng web application, na nagmamana ng magkaparehong mga pahintulot sa filesystem at mga environment variable.

Ang konteksto ng pagpapatupad na ito ay nagbibigay sa attacker ng access sa mga sensitibong asset tulad ng mga kredensyal sa database, mga API key, at mga nilalaman ng .env file. Samakatuwid, ang kompromiso ay lumalampas sa kontrol sa antas ng system hanggang sa ganap na paglalantad ng mga sikreto ng application at access sa imprastraktura.

Istratehiya sa Pagpapaunlad ng Kredibilidad sa Pamamagitan ng Malinis na mga Pakete

Isiniwalat ng karagdagang imbestigasyon na ang parehong publisher ay naglabas ng mga karagdagang pakete - nhattuanbl/lara-media, nhattuanbl/snooze, at nhattuanbl/syslog - na hindi naglalaman ng malisyosong code. Lumilitaw na nagsisilbing mga artifact sa pagbuo ng reputasyon ang mga ito na idinisenyo upang mapataas ang tiwala at hikayatin ang pag-aampon ng mga paketeng ginawang armas.

Agarang Pagpapagaan at Mga Hakbang sa Pagtugon

Ang mga organisasyong nag-install ng alinman sa mga malisyosong pakete ay dapat umasa sa pagkompromiso. Kabilang sa mga kinakailangang aksyon sa pagtugon ang agarang pag-alis ng mga apektadong library, pag-ikot ng lahat ng kredensyal na maa-access mula sa kapaligiran ng aplikasyon, at isang masusing pag-audit ng papalabas na trapiko sa network para sa mga pagtatangkang kumonekta sa natukoy na imprastraktura ng C2.

Ang hindi pagtugon nang may katiyakan ay maaaring magdulot ng kahinaan sa mga sistema sa muling pag-access ng mga umaatake kung sakaling muling gumana ang command-and-control infrastructure.