Rabattoffert för flera licenser
Hotdatabas Skadlig programvara Skadliga Packagist PHP-paket

Skadliga Packagist PHP-paket

Med Mezo år Skadlig programvara
Översätt till:

Cybersäkerhetsanalytiker har identifierat skadliga PHP-paket på Packagist som utger sig för att vara legitima Laravel-hjälpbibliotek samtidigt som de i hemlighet distribuerar en plattformsoberoende fjärråtkomsttrojan (RAT). Skadlig programvara fungerar sömlöst i Windows-, macOS- och Linux-miljöer, vilket skapar betydande risker för berörda system.

De identifierade paketen inkluderar:

  • nhattuanbl/lara-helper (37 nedladdningar)
  • nhattuanbl/simple-queue (29 nedladdningar)
  • nhattuanbl/lara-swagger (49 nedladdningar)

Även om nhattuanbl/lara-swagger inte direkt innehåller skadlig kod, listar den nhattuanbl/lara-helper som ett Composer-beroende, vilket resulterar i installationen av den inbäddade RAT. Trots offentliggörande förblir dessa paket tillgängliga i arkivet och bör omedelbart tas bort från alla berörda miljöer.

Förvirringstaktik döljer onda avsikter

Detaljerad kodanalys visar att både lara-helper och simple-queue innehåller en fil med namnet src/helper.php som är konstruerad för att undvika upptäckt. Den skadliga programvaran använder avancerade förvirringsstrategier, inklusive manipulation av kontrollflöden, kodade domännamn och kommandosträngar, dolda filsökvägar och randomiserade variabel- och funktionsidentifierare.

Dessa tekniker komplicerar statisk analys avsevärt och hjälper den skadliga nyttolasten att kringgå konventionell kodgranskning och automatiserade säkerhetsskanningsverktyg.

Kommando- och kontrollinfrastruktur möjliggör fullständig värdövertagande

När den har körts upprättar RAT en anslutning till en kommando-och-kontrollserver (C2) på helper.leuleu.net på port 2096. Den överför systemrekognoseringsdata och går in i ett permanent lyssningsläge i väntan på ytterligare instruktioner. Kommunikation sker via TCP med PHP:s stream_socket_client()-funktion.

Bakdörren stöder ett brett utbud av operatörsutfärdade kommandon, vilket möjliggör fullständig systemkontroll. Funktioner inkluderar:

  • Automatiska hjärtslagsignaler var 60:e sekund via ping.
  • Överföring av systemprofileringsdata via information.
  • Körning av Shell-kommando (cmd).
  • PowerShell-kommandokörning (Powershell).
  • Bakgrundskommandokörning (kör).
  • Skärmdump med imagegrabscreen() (skärmdump).
  • Filexfiltrering (nedladdning).
  • Godtycklig filuppladdning med läs-, skriv- och körbehörigheter beviljade till alla användare (uppladdning).
  • Anslutningsavslutning och utgång (stopp).

För att maximera tillförlitligheten kontrollerar RAT PHP disable_functions-konfigurationen och väljer den första tillgängliga exekveringsmetoden från följande: popen, proc_open, exec, shell_exec, system eller passthru. Denna adaptiva metod gör det möjligt att kringgå vanliga PHP-härdningsåtgärder.

Ihållande återanslutningsmekanism ökar risken

Även om den identifierade C2-servern för närvarande inte svarar, är skadlig programvara programmerad att försöka ansluta igen var 15:e sekund i en kontinuerlig loop. Denna persistensmekanism säkerställer att komprometterade system förblir exponerade om angriparen återställer servertillgängligheten.

Alla Laravel-applikationer som installerat lara-helper eller simple-queue fungerar i praktiken med en inbäddad RAT. Hotaktören får fullständig fjärråtkomst till skalet, möjligheten att läsa och modifiera godtyckliga filer och kontinuerlig insyn i systemnivådetaljer för varje infekterad värd.

Exekveringskontext förstärker effekten

Aktivering sker automatiskt under programstart via en tjänsteleverantör eller genom automatisk klassinläsning vid simple-queue. Som ett resultat körs RAT inom samma process som webbapplikationen och ärver identiska filsystembehörigheter och miljövariabler.

Denna exekveringskontext ger angriparen åtkomst till känsliga tillgångar som databasuppgifter, API-nycklar och innehållet i .env-filen. Komprometteringen sträcker sig därför bortom systemnivåkontroll till fullständig exponering av applikationshemligheter och åtkomst till infrastruktur.

Trovärdighetsbyggande strategi genom rena paket

Vidare undersökningar visar att samma utgivare släppte ytterligare paket – nhattuanbl/lara-media, nhattuanbl/snooze och nhattuanbl/syslog – som inte innehåller skadlig kod. Dessa verkar fungera som ryktesbyggande artefakter utformade för att öka förtroendet och uppmuntra till användning av de vapenbaserade paketen.

Omedelbara begränsnings- och responsåtgärder

Organisationer som installerat något av de skadliga paketen bör anta att de har komprometterats. Nödvändiga åtgärder inkluderar omedelbar borttagning av de berörda biblioteken, rotation av alla inloggningsuppgifter som är tillgängliga från applikationsmiljön och en grundlig granskning av utgående nätverkstrafik för försök till anslutning till den identifierade C2-infrastrukturen.

Underlåtenhet att reagera beslutsamt kan göra system sårbara för förnyad angriparåtkomst om kommando- och kontrollinfrastrukturen återigen tas i drift.

Trendigt

Mest sedda

Läser in...