惡意 Packagist PHP 套件

網路安全分析師在 Packagist 上發現了惡意 PHP 軟體包，這些軟體包偽裝成合法的 Laravel 輔助庫，同時暗中部署跨平台遠端存取木馬 (RAT)。該惡意軟體可在 Windows、macOS 和 Linux 環境下無縫運行，對受影響的系統構成重大風險。

已識別的包裹包括：

• nhattuanbl/lara-helper（37 次下載）
• nhattuanbl/simple-queue（下載量：29）
• nhattuanbl/lara-swagger（49 次下載）

儘管 nhattuanbl/lara-swagger 本身並不包含惡意程式碼，但它將 nhattuanbl/lara-helper 列為 Composer 依賴項，這會導致嵌入式遠端存取木馬 (RAT) 的安裝。儘管已公開披露，這些軟體包仍然可以從代碼倉庫中訪問，並應立即從任何受影響的環境中移除。

混淆視聽的策略掩蓋惡意意圖

詳細的程式碼分析表明，lara-helper 和 simple-queue 都包含一個名為 src/helper.php 的文件，該文件經過精心設計以逃避檢測。該惡意軟體採用了高級混淆策略，包括控制流程操縱、編碼網域名稱和命令字串、隱藏檔案路徑以及隨機化變數和函數標識符。

這些技術大大增加了靜態分析的複雜性，並幫助惡意負載繞過傳統的程式碼審查和自動安全掃描工具。

命令與控制基礎設施實現對主機的完全接管

遠端存取木馬（RAT）執行後，會透過 2096 連接埠連接到 helper.leuleu.net 上的命令與控制（C2）伺服器。它會傳送系統偵察數據，並進入持續監聽狀態，等待進一步指令。通訊透過 TCP 協定進行，使用 PHP 的 stream_socket_client() 函數。

此後門支援多種操作員所發出的命令，從而實現對系統的全面控制。其功能包括：

• 每 60 秒以 ping 方式自動發送心跳訊號。
• 透過資訊傳輸系統分析資料。
• Shell 指令執行（cmd）。
• PowerShell 指令執行（powershell）。
• 後台命令執行（運行）。

為了最大限度地提高可靠性，遠端存取木馬 (RAT) 會檢查 PHP 的 disable_functions 配置，並從下列選項中選擇第一個可用的執行方法：popen、proc_open、exec、shell_exec、system 或 passthru。這種自適應方法使其能夠繞過常見的 PHP 安全加固措施。

持續重連機制增加風險

儘管已識別的C2伺服器目前無回應，但惡意軟體被編程為每15秒重試連接，形成一個持續循環。這種持久化機制確保即使攻擊者恢復伺服器可用性，受感染的系統仍然處於暴露狀態。

任何安裝了 lara-helper 或 simple-queue 的 Laravel 應用程式實際上都運行嵌入式遠端存取木馬 (RAT)。攻擊者可以獲得完整的遠端 shell 存取權限，能夠讀取和修改任意文件，並持續查看每個受感染主機的系統級詳細資訊。

執行環境放大影響

啟動程序會在應用程式啟動時透過服務提供者自動完成，或在簡單佇列模式下透過類別自動載入完成。因此，遠端存取木馬 (RAT) 與 Web 應用程式在同一進程中執行，並繼承相同的檔案系統權限和環境變數。

此執行上下文賦予攻擊者存取敏感資產的權限，例如資料庫憑證、API 金鑰和 .env 檔案的內容。因此，此次攻擊不僅限於系統級控制，還會導致應用程式機密資訊和基礎設施存取權限的完全暴露。

透過清潔包裝建立信譽策略

進一步調查顯示，同一發布者也發布了其他軟體包——nhattuanbl/lara-media、nhattuanbl/snooze 和 nhattuanbl/syslog——這些軟體包不包含惡意程式碼。這些軟體包似乎旨在建立信譽，以提升用戶信任度並鼓勵用戶使用惡意軟體包。

立即採取的緩解和應對措施

安裝了任何惡意軟體包的組織應假定其係統已被入侵。必須採取的應對措施包括立即移除受影響的庫檔案、輪換所有可從應用程式環境存取的憑證，以及對出站網路流量進行徹底審計，以查找試圖連接到已識別的 C2 基礎架構的攻擊。

如果指揮控制基礎設施再次運行，而應對措施又不果斷，則係統可能容易受到攻擊者的再次入侵。