Знижка на кілька ліцензій
База даних загроз Шкідливе програмне забезпечення Шкідливий PHP-пакет Packagist

Шкідливий PHP-пакет Packagist

До Mezo року в Шкідливе програмне забезпечення році
Перекласти на:

Аналітики з кібербезпеки виявили шкідливі PHP-пакети на Packagist, які імітують легітимні допоміжні бібліотеки Laravel, приховано розгортаючи кросплатформний троян віддаленого доступу (RAT). Шкідливе програмне забезпечення безперебійно працює в середовищах Windows, macOS та Linux, створюючи значний ризик для уражених систем.

Визначені пакети включають:

  • nhattuanbl/lara-helper (37 завантажень)
  • nhattuanbl/simple-queue (29 завантажень)
  • nhattuanbl/lara-swagger (49 завантажень)

Хоча nhattuanbl/lara-swagger безпосередньо не містить шкідливого коду, він вказує nhattuanbl/lara-helper як залежність Composer, що призводить до встановлення вбудованого RAT. Незважаючи на публічне розкриття інформації, ці пакети залишаються доступними в репозиторії та повинні бути негайно видалені з будь-якого ураженого середовища.

Тактики заплутування приховують зловмисний намір

Детальний аналіз коду показує, що як lara-helper, так і simple-queue містять файл з назвою src/helper.php, розроблений для уникнення виявлення. Шкідливе програмне забезпечення використовує розширені стратегії обфускації, включаючи маніпулювання потоком керування, закодовані доменні імена та рядки команд, приховані шляхи до файлів, а також випадкові ідентифікатори змінних і функцій.

Ці методи значно ускладнюють статичний аналіз і допомагають шкідливому корисному навантаженню обходити звичайні засоби перевірки коду та автоматизованого сканування безпеки.

Інфраструктура командування та управління забезпечує повне захоплення хоста

Після виконання RAT встановлює з'єднання з сервером командування та управління (C2) за адресою helper.leuleu.net через порт 2096. Він передає дані системної розвідки та переходить у стан постійного прослуховування, очікуючи подальших інструкцій. Зв'язок відбувається через TCP за допомогою функції stream_socket_client() у PHP.

Бекдор підтримує широкий спектр команд, що видаються оператором, що забезпечує повний контроль над системою. Можливості включають:

  • Автоматичні сигнали серцебиття надсилаються кожні 60 секунд за допомогою функції ping.
  • Передача даних профілювання системи через info.
  • Виконання команд оболонки (cmd).
  • Виконання команди PowerShell (powershell).
  • Виконання команди у фоновому режимі (run).
  • Знімок екрана за допомогою imagegrabscreen() (скріншот).
  • Вилучення файлів (завантаження).
  • Довільне завантаження файлів з правами на читання, запис та виконання, наданими всім користувачам (завантаження).
  • Завершення з'єднання та вихід (зупинка).

    • Для максимізації надійності RAT перевіряє конфігурацію disable_functions у PHP та вибирає перший доступний метод виконання з наступних: popen, proc_open, exec, shell_exec, system або passthru. Такий адаптивний підхід дозволяє обійти поширені заходи захисту PHP.

    Механізм постійного повторного підключення збільшує ризик

    Хоча ідентифікований сервер C2 наразі не відповідає, шкідливе програмне забезпечення запрограмоване на повторні спроби підключення кожні 15 секунд у безперервному циклі. Цей механізм збереження гарантує, що скомпрометовані системи залишаться беззахисними, якщо зловмисник відновить доступність сервера.

    Будь-який застосунок Laravel, на якому встановлено lara-helper або simple-queue, фактично працює з вбудованим RAT. Зловмисник отримує повний доступ до віддаленої оболонки, можливість читати та змінювати довільні файли, а також постійний доступ до деталей на системному рівні для кожного зараженого хоста.

    Контекст виконання посилює вплив

    Активація відбувається автоматично під час завантаження програми через постачальника послуг або через автозавантаження класів у випадку простої черги. В результаті RAT виконується в тому ж процесі, що й веб-програма, успадковуючи ідентичні дозволи файлової системи та змінні середовища.

    Цей контекст виконання надає зловмиснику доступ до конфіденційних ресурсів, таких як облікові дані бази даних, ключі API та вміст файлу .env. Таким чином, компрометація виходить за рамки контролю на системному рівні та включає повне розкриття секретів програм та доступ до інфраструктури.

    Стратегія зміцнення довіри за допомогою прозорих пакетів послуг

    Подальше розслідування показало, що той самий видавець випустив додаткові пакети — nhattuanbl/lara-media, nhattuanbl/snooze та nhattuanbl/syslog — які не містять шкідливого коду. Схоже, що вони слугують артефактами для зміцнення репутації, призначеними для підвищення довіри та заохочення до використання шкідливих пакетів.

    Негайні заходи щодо пом'якшення наслідків та реагування

    Організації, які встановили будь-який із шкідливих пакетів, повинні припускати наявність компрометації. Необхідні заходи реагування включають негайне видалення уражених бібліотек, ротацію всіх облікових даних, доступних із середовища програми, та ретельний аудит вихідного мережевого трафіку на предмет спроб підключень до виявленої інфраструктури C2.

    Відсутність рішучої реакції може зробити системи вразливими для повторного доступу зловмисників, якщо інфраструктура командування та управління знову запрацює.

    В тренді

    Найбільше переглянуті

    Шкідливе програмне забезпечення

    Фішинг, Спам
    23,084
    Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...
    Завантаження...