Изследователи по киберсигурност откриха серия злонамерени PHP пакети в Packagist, които се представят като помощни библиотеки за Laravel, но всъщност инсталират кросплатформен remote access trojan (RAT). Той работи на Windows, macOS и Linux и дава на атакуващия пълен достъп до заразената система.
Трите пакета nhattuanbl/lara-helper, nhattuanbl/simple-queue и nhattuanbl/lara-swagger имат сравнително малко изтегляния, но са достатъчно опасни. „lara-swagger“ не съдържа директно зловреден код, но автоматично инсталира „lara-helper“ като Composer замисимост, който внедрява RAT‑а. Пакетите все още са достъпни в Packagist.
Зловредните библиотеки съдържат файл src/helper.php, който използва обфускация, кодирани домейни и случайни имена на функции, за да затрудни анализа. След зареждане въпросният RAT се свързва към C2 сървър на helper.leuleu[.]net:2096, изпраща информация за системата и изчаква команди. Комуникацията е през TCP чрез stream_socket_client() (линк).
Какво може новият RAT
- Изпращане на heartbeat („ping“) на всеки 60 секунди
- Събиране на системна информация
- Изпълнение на shell команди
- Изпълнение на PowerShell команди
- Стартиране на процеси във фонов режим
- Заснемане на екрана чрез
imagegrabscreen() - Качване и сваляне на файлове
- Прекратяване на връзката
За изпълнение на команди RAT‑ът проверява кои функции не са блокирани и използва първата налична от: popen, proc_open, exec, shell_exec, system, passthru. Това го прави устойчив на стандартни PHP мерки за защита.
Макар C2 сървърът в момента да не отговаря, троянецът опитва повторно свързване на всеки 15 секунди, което го прави постоянен риск. Експертите съветват потребителите, инсталирали пакетите, да приемат, че системата е компрометирана, да ги премахнат незабавно, да сменят всички ключове и пароли, достъпни за приложението, и да проверят изходящия трафик.
Интересно е, че същият автор е публикувал и три „чисти“ пакета: lara-media, snooze, syslog вероятно за да изгради доверие и да подмами потребителите да инсталират зловредните.
Според Socket всяко Laravel приложение, което е инсталирало „lara-helper“ или „simple-queue“, изпълнява RAT при стартиране. Той работи в същия процес като уеб приложението и има достъп до файловата система, бази данни, API ключове и съдържанието на .env.
