Gói PHP độc hại Packagist

Các chuyên gia an ninh mạng đã phát hiện các gói PHP độc hại trên Packagist giả mạo các thư viện hỗ trợ Laravel hợp pháp trong khi bí mật triển khai một Trojan truy cập từ xa (RAT) đa nền tảng. Phần mềm độc hại này hoạt động trơn tru trên các môi trường Windows, macOS và Linux, tạo ra rủi ro đáng kể cho các hệ thống bị ảnh hưởng.

Các gói hàng đã được xác định bao gồm:

• nhattuanbl/lara-helper (37 lượt tải xuống)
• nhattuanbl/simple-queue (29 lượt tải xuống)
• nhattuanbl/lara-swagger (49 lượt tải xuống)

Mặc dù nhattuanbl/lara-swagger không trực tiếp chứa mã độc hại, nhưng nó liệt kê nhattuanbl/lara-helper như một phụ thuộc của Composer, dẫn đến việc cài đặt phần mềm RAT nhúng. Mặc dù đã được công khai, các gói này vẫn có thể truy cập được trong kho lưu trữ và cần được gỡ bỏ ngay lập tức khỏi bất kỳ môi trường nào bị ảnh hưởng.

Các thủ đoạn đánh lạc hướng nhằm che giấu ý đồ xấu xa.

Phân tích mã nguồn chi tiết cho thấy cả lara-helper và simple-queue đều chứa một tệp có tên src/helper.php được thiết kế để tránh bị phát hiện. Phần mềm độc hại này kết hợp các chiến lược che giấu mã nguồn tiên tiến, bao gồm thao tác luồng điều khiển, mã hóa tên miền và chuỗi lệnh, đường dẫn tệp được che giấu, và các định danh biến và hàm được ngẫu nhiên hóa.

Các kỹ thuật này làm phức tạp đáng kể việc phân tích tĩnh và giúp phần mềm độc hại vượt qua quá trình xem xét mã thông thường và các công cụ quét bảo mật tự động.

Cơ sở hạ tầng chỉ huy và kiểm soát cho phép chiếm quyền điều khiển hoàn toàn máy chủ.

Sau khi được thực thi, RAT thiết lập kết nối với máy chủ điều khiển (C2) tại helper.leuleu.net trên cổng 2096. Nó truyền dữ liệu trinh sát hệ thống và chuyển sang trạng thái lắng nghe liên tục, chờ đợi các chỉ thị tiếp theo. Quá trình giao tiếp diễn ra qua TCP bằng cách sử dụng hàm stream_socket_client() của PHP.

Cửa hậu hỗ trợ nhiều lệnh do người vận hành đưa ra, cho phép kiểm soát toàn bộ hệ thống. Các khả năng bao gồm:

• Nhịp tim tự động phát tín hiệu mỗi 60 giây thông qua tín hiệu ping.
• Truyền dữ liệu hồ sơ hệ thống thông qua thông tin.
• Thực thi lệnh shell (cmd).
• Thực thi lệnh PowerShell (powershell).
• Thực thi lệnh nền (run).
• Chụp màn hình bằng hàm imagegrabscreen() (screenshot).

• Rò rỉ tập tin (tải xuống).

• Cho phép tải lên tập tin tùy ý với quyền đọc, ghi và thực thi được cấp cho tất cả người dùng (upload).

• Kết nối bị chấm dứt và thoát (dừng).

Để tối đa hóa độ tin cậy, RAT kiểm tra cấu hình disable_functions của PHP và chọn phương thức thực thi khả dụng đầu tiên từ các tùy chọn sau: popen, proc_open, exec, shell_exec, system hoặc passthru. Cách tiếp cận thích ứng này cho phép nó vượt qua các biện pháp bảo mật PHP thông thường.

Cơ chế tái kết nối liên tục làm tăng nguy cơ

Mặc dù máy chủ C2 được xác định hiện không phản hồi, phần mềm độc hại được lập trình để thử kết nối lại sau mỗi 15 giây trong một vòng lặp liên tục. Cơ chế duy trì này đảm bảo rằng các hệ thống bị xâm nhập vẫn dễ bị tấn công nếu kẻ tấn công khôi phục lại khả năng hoạt động của máy chủ.

Bất kỳ ứng dụng Laravel nào đã cài đặt lara-helper hoặc simple-queue đều đang hoạt động với một RAT (Remote Access Trojan) được nhúng bên trong. Kẻ tấn công có được quyền truy cập shell từ xa hoàn toàn, khả năng đọc và sửa đổi các tệp tùy ý, và khả năng theo dõi liên tục các chi tiết cấp hệ thống cho mỗi máy chủ bị nhiễm.

Bối cảnh thực thi khuếch đại tác động.

Quá trình kích hoạt diễn ra tự động trong quá trình khởi động ứng dụng thông qua nhà cung cấp dịch vụ hoặc thông qua việc tự động tải lớp trong trường hợp hàng đợi đơn giản. Kết quả là, RAT thực thi trong cùng một tiến trình với ứng dụng web, kế thừa các quyền truy cập hệ thống tệp và các biến môi trường giống hệt nhau.

Ngữ cảnh thực thi này cho phép kẻ tấn công truy cập vào các tài sản nhạy cảm như thông tin đăng nhập cơ sở dữ liệu, khóa API và nội dung của tệp .env. Do đó, sự xâm phạm không chỉ dừng lại ở việc kiểm soát cấp hệ thống mà còn làm lộ hoàn toàn các bí mật ứng dụng và quyền truy cập vào cơ sở hạ tầng.

Chiến lược xây dựng uy tín thông qua bao bì sạch sẽ

Điều tra sâu hơn cho thấy cùng một nhà phát hành đã phát hành thêm các gói phần mềm khác - nhattuanbl/lara-media, nhattuanbl/snooze và nhattuanbl/syslog - không chứa mã độc hại. Chúng dường như đóng vai trò là các công cụ xây dựng uy tín, được thiết kế để tăng cường lòng tin và khuyến khích việc sử dụng các gói phần mềm độc hại.

Các biện pháp giảm thiểu và ứng phó tức thời

Các tổ chức đã cài đặt bất kỳ gói phần mềm độc hại nào nên coi như hệ thống đã bị xâm nhập. Các hành động ứng phó cần thiết bao gồm gỡ bỏ ngay lập tức các thư viện bị ảnh hưởng, thay đổi toàn bộ thông tin đăng nhập có thể truy cập từ môi trường ứng dụng và kiểm tra kỹ lưỡng lưu lượng mạng đi ra để tìm kiếm các kết nối cố gắng đến cơ sở hạ tầng C2 đã được xác định.

Việc không phản hồi dứt khoát có thể khiến hệ thống dễ bị tấn công trở lại nếu cơ sở hạ tầng điều khiển và giám sát hoạt động trở lại.