Los investigadores de ciberseguridad han detectado un paquete PHP Packagist malicioso que se hace pasar por una utilidad Laravel que actúa como vector para un troyano de acceso remoto (RAT) multiplataforma que funciona en sistemas Windows, macOS y Linux.
Los nombres de los paquetes se enumeran a continuación:
nhattuanbl/lara-helper (descargar 37) nhattuanbl/simple-queue (descargar 29) nhattuanbl/lara-swagger (descargar 49)
Según Socket, el RAT se instala porque el paquete «nhattuanbl/lara-swagger» no incorpora directamente ningún código malicioso y tiene «nhattuanbl/lara-helper» listado como una dependencia de Composer. Los paquetes todavía están disponibles para descargar desde el Registro de paquetes PHP.
Tanto lara-helper como simple-queue contienen un archivo PHP llamado «src/helper.php». Este archivo utiliza muchos trucos para complicar el análisis estático, utilizando técnicas como la ofuscación del flujo de control, la codificación de nombres de dominio, nombres de comandos y rutas de archivos, e identificadores aleatorios en nombres de variables y funciones.
«Una vez cargada, la carga útil se conecta al servidor C2 en helper.leuleu(.)net:2096, envía datos de reconocimiento del sistema y espera comandos. Esto le da al operador acceso remoto completo al host», dijo el investigador de seguridad Kush Pandya.
Esto incluye el envío de información del sistema y el análisis de comandos recibidos del servidor C2 para su posterior ejecución en el host comprometido. La comunicación se realiza a través de TCP utilizando stream_socket_client() de PHP. La lista de comandos admitidos se encuentra a continuación:
ping, envía automáticamente un latido cada 60 segundos de información, envía datos de reconocimiento del sistema al cmd del servidor C2, ejecuta un comando de shell powershell, ejecuta un comando de PowerShell, ejecuta un comando de shell en la captura de pantalla de fondo, captura la pantalla usando descargas de imagegrabscreen(), lee archivos desde cargas de disco, otorga permisos de lectura, escritura y ejecución a archivos en el disco para que todos los usuarios se detengan, accedan a sockets y salgan
«Al ejecutar un shell, la RAT mira enable_functions y elige el primer método disponible: popen, proc_open, exec, shell_exec, system, passthru», dijo Pandya. «Esto lo hace más resistente a las configuraciones comunes de refuerzo de PHP».
Aunque el servidor C2 no responde actualmente, el RAT está configurado para reintentar la conexión cada 15 segundos en un bucle persistente, lo que plantea un riesgo de seguridad. Recomendamos que los usuarios que hayan instalado el paquete asuman un compromiso, eliminen el paquete, roten todos los secretos accesibles desde el entorno de la aplicación y auditen el tráfico saliente al servidor C2.
Además de los tres paquetes mencionados anteriormente, el atacante detrás de esta operación expone otras tres bibliotecas: ‘nhattuanbl/lara-media’, ‘nhattuanbl/snooze’ y ‘nhattuanbl/syslog’. Estos son limpios y probablemente tengan como objetivo generar confianza y engañar a los usuarios para que instalen paquetes maliciosos.
«Las aplicaciones Laravel con lara-helper o simple-queue instalado ejecutan una RAT persistente. Los actores de amenazas tienen acceso completo al shell remoto, pueden leer y escribir archivos arbitrarios y recibir perfiles de sistema continuos para cada host conectado», dijo Socket.
«Debido a que la activación se produce al iniciar la aplicación (a través de un proveedor de servicios) o al cargar automáticamente la clase (a través de una cola simple), el RAT se ejecuta en el mismo proceso que la aplicación web, utilizando los mismos permisos del sistema de archivos y variables de entorno, como credenciales de base de datos, claves API y contenido .env».
Source link
