Los investigadores de ciberseguridad tienen marcado paquetes PHP maliciosos de Packagist que se hacen pasar por utilidades de Laravel y actúan como un conducto para un troyano de acceso remoto (RAT) multiplataforma que funciona en los sistemas Windows, macOS y Linux.
Los nombres de los paquetes se enumeran a continuación -
- nhattuanbl/lara-helper (37 Descargas)
- nhattuanbl/simple-queue (29 descargas)
- nhattuanbl/lara-swagger (49 descargas)
Según Socket, el paquete «nhattuanbl/lara-swagger» no incorpora directamente código malicioso, sino que incluye «nhattuanbl/lara-helper» como Dependencia del compositor , lo que hace que instale la RAT. Los paquetes aún están disponibles para su descarga desde el registro de paquetes de PHP.
adsenseSe ha descubierto que tanto lara-helper como simple-queue contienen un archivo PHP llamado "src/helper.php», que emplea una serie de trucos para complicar el análisis estático mediante el uso de técnicas como la ofuscación del flujo de control, la codificación de nombres de dominio, nombres de comandos y rutas de archivos e identificadores aleatorios para nombres de variables y funciones.
«Una vez cargada, la carga útil se conecta a un servidor C2 en helper.leuleu [.] net:2096, envía datos de reconocimiento del sistema y espera los comandos, lo que da al operador acceso remoto total al host», afirma el investigador de seguridad Kush Pandya.
Esto incluye el envío de información del sistema y el análisis de los comandos recibidos del servidor C2 para su posterior ejecución en el host comprometido. La comunicación se produce a través de TCP utilizando PHP stream_socket_client () . La lista de comandos compatibles se encuentra a continuación:
- ping , para enviar automáticamente un latido cada 60 segundos
- información , para enviar datos de reconocimiento del sistema al servidor C2
- cmd , para ejecutar un comando de shell
- powershell , para ejecutar un comando de PowerShell
- correr , para ejecutar un comando de shell en segundo plano
- captura de pantalla , para capturar la pantalla usando imagegrabscreen ()
- descargar , para leer un archivo del disco
- subida , a un archivo del disco y concederle permisos de lectura, escritura y ejecución a todos los usuarios
- parar , al enchufe y salga
«Para la ejecución del shell, la RAT sondea disable_functions y elige el primer método disponible entre: popen, proc_open, exec, shell_exec, system, passthru», explica Pandya. «Esto hace que sea resistente a las configuraciones comunes de endurecimiento de PHP».
enlacesSi bien el servidor C2 no responde actualmente, la RAT está configurada de manera que vuelve a intentar la conexión cada 15 segundos en un bucle persistente, lo que lo convierte en un riesgo de seguridad. Se recomienda a los usuarios que hayan instalado los paquetes que asuman riesgos, los eliminen, roten todos los secretos accesibles desde el entorno de la aplicación y auditen el tráfico saliente al servidor C2.
Además de los tres paquetes antes mencionados, el actor de amenazas detrás de la operación ha publicado otras tres bibliotecas («nhattuanbl/lara-media», «nhattuanbl/snooze» y «nhattuanbl/syslog») que están limpias, probablemente en un esfuerzo por aumentar la credibilidad y engañar a los usuarios para que instalen los paquetes maliciosos.
«Cualquier aplicación de Laravel que haya instalado lara-helper o simple-queue ejecuta una RAT persistente. El autor de la amenaza tiene acceso completo a la consola remota, puede leer y escribir archivos arbitrarios y recibe un perfil de sistema continuo para cada host conectado», afirma Socket.
«Como la activación se produce al arrancar la aplicación (a través del proveedor de servicios) o al cargarse automáticamente las clases (mediante una cola simple), la RAT se ejecuta en el mismo proceso que la aplicación web con los mismos permisos del sistema de archivos y variables de entorno, incluidas las credenciales de la base de datos, las claves de API y el contenido.env».
Fuentes de Información: THEHACKERNEWS