Es resistente a las configuraciones comunes de endurecimiento de PHP

nvestigadores de ciberseguridad han detectado paquetes PHP maliciosos de Packagist que se hacen pasar por utilidades de Laravel y que actúan como conducto para un troyano de acceso remoto (RAT) multiplataforma que funciona en sistemas Windows, macOS y Linux.

Los nombres de los paquetes se enumeran a continuación:

• nhattuanbl/lara-helper (37 descargas)
• nhattuanbl/simple-queue (29 descargas)
• nhattuanbl/lara-swagger (49 descargas)

Según Socket, el paquete "nhattuanbl/lara-swagger" no integra directamente código malicioso, sino que incluye "nhattuanbl/lara-helper" como dependencia de Composer, lo que provoca la instalación del RAT. Los paquetes aún se pueden descargar desde el registro de paquetes PHP.

Se ha descubierto que tanto lara-helper como simple-queue contienen un archivo PHP llamado "src/helper.php", que emplea una serie de trucos para complicar el análisis estático mediante el uso de técnicas como la ofuscación del flujo de control, codificación de nombres de dominio, nombres de comandos y rutas de archivos, e identificadores aleatorios para nombres de variables y funciones.

"Una vez cargada, la carga útil se conecta a un servidor C2 de comando y control en helper.leuleu[.]net:2096, envía datos de reconocimiento del sistema y espera comandos, lo que le da al operador acceso remoto completo al host", dijo el investigador de seguridad Kush Pandya.

Esto incluye el envío de información del sistema y el análisis de los comandos recibidos del servidor C2 para su posterior ejecución en el host comprometido. La comunicación se realiza mediante TCP mediante stream_socket_client() de PHP.

"Para la ejecución del shell, el RAT sondea las funciones deshabilitadas y selecciona el primer método disponible entre: popen, proc_open, exec, shell_exec, system, passthru", explicó Pandya. "Esto lo hace resistente a las configuraciones comunes de endurecimiento de PHP".

Aunque el servidor C2 no responde actualmente, el RAT está configurado para reintentar la conexión cada 15 segundos en un bucle persistente, lo que supone un riesgo de seguridad. Se recomienda a los usuarios que hayan instalado los paquetes que asuman la vulnerabilidad, los eliminen, roten todos los secretos accesibles desde el entorno de la aplicación y auditen el tráfico saliente al servidor C2.

Además de los tres paquetes mencionados anteriormente, el actor de amenazas detrás de la operación ha publicado otras tres bibliotecas ("nhattuanbl/lara-media", "nhattuanbl/snooze" y "nhattuanbl/syslog") que están limpias, probablemente en un esfuerzo por generar credibilidad y engañar a los usuarios para que instalen las maliciosas.

"Cualquier aplicación de Laravel que tenga instalado lara-helper o simple-queue ejecuta una RAT persistente. El atacante tiene acceso total al shell remoto, puede leer y escribir archivos arbitrarios y recibe un perfil del sistema actualizado para cada host conectado", explicó Socket.

"Dado que la activación ocurre durante el arranque de la aplicación (a través del proveedor de servicios) o durante la carga automática de clases (a través de una cola simple), el RAT se ejecuta en el mismo proceso que la aplicación web con los mismos permisos del sistema de archivos y variables de entorno, incluidas las credenciales de la base de datos, las claves API y el contenido .env".