🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética sinalizaram pacotes PHP Packagist maliciosos disfarçados de utilitários Laravel que atuam como um canal para um trojan de acesso remoto (RAT) de plataforma cruzada que funciona em sistemas Windows, macOS e Linux.
Os nomes dos pacotes estão listados abaixo -
nhattuanbl/lara-helper (37 downloads)
nhattuanbl/simple-queue (29 downloads)
nhattuanbl/lara-swagger (49 downloads)
De acordo com Socket, o pacote "nhattuanbl/lara-swagger" não incorpora diretamente código malicioso, lista "nhattuanbl/lara-helper" como uma dependência do Composer, fazendo com que ele instale o RAT. Os pacotes ainda estão disponíveis para download no registro de pacotes do PHP.
Descobriu-se que tanto lara-helper quanto simple-queue contêm um arquivo PHP chamado "src/helper.php", que emprega uma série de truques para complicar a análise estática, fazendo uso de técnicas como ofuscação de fluxo de controle, codificação de nomes de domínio, nomes de comando e caminhos de arquivo, e identificadores aleatórios para nomes de variáveis e funções.
“Uma vez carregada, a carga se conecta a um servidor C2 em helper.leuleu[.]net:2096, envia dados de reconhecimento do sistema e aguarda comandos – dando ao operador acesso remoto total ao host”, disse o pesquisador de segurança Kush Pandya.
Isso inclui o envio de informações do sistema e a análise de comandos recebidos do servidor C2 para execução subsequente no host comprometido. A comunicação ocorre via TCP usando stream_socket_client() do PHP. A lista de comandos suportados está abaixo -
ping, para enviar um batimento cardíaco automaticamente a cada 60 segundos
info, para enviar dados de reconhecimento do sistema para o servidor C2
cmd, para executar um comando shell
PowerShell, para executar um comando do PowerShell
run, para executar um comando shell em segundo plano
captura de tela, para capturar a tela usando imagegrabscreen()
download, para ler um arquivo do disco
fazer upload para um arquivo no disco e conceder permissões de leitura, gravação e execução a todos os usuários
pare, para o soquete e saia
“Para execução de shell, o RAT investiga disable_functions e escolhe o primeiro método disponível de: popen, proc_open, exec, shell_exec, system, passthru”, disse Pandya. 'Isso o torna resiliente a configurações comuns de proteção de PHP.'
Embora o servidor C2 não esteja respondendo no momento, o RAT é configurado de forma que tente novamente a conexão a cada 15 segundos em um loop persistente, tornando-o um risco à segurança. Os usuários que instalaram os pacotes são aconselhados a assumir o compromisso, removê-los, alternar todos os segredos acessíveis no ambiente do aplicativo e auditar o tráfego de saída para o servidor C2.
Além dos três pacotes mencionados acima, o agente da ameaça por trás da operação publicou três outras bibliotecas ("nhattuanbl/lara-media", "nhattuanbl/snooze" e "nhattuanbl/syslog") que são limpas, provavelmente em um esforço para construir credibilidade e enganar os usuários para que instalem os maliciosos.
"Qualquer aplicativo Laravel que instalou o lara-helper ou o simple-queue está executando um RAT persistente. O agente da ameaça tem acesso remoto completo ao shell, pode ler e gravar arquivos arbitrários e recebe um perfil de sistema contínuo para cada host conectado”, disse Socket.
"Como a ativação ocorre na inicialização do aplicativo (por meio do provedor de serviços) ou no carregamento automático da classe (por meio de fila simples), o RAT é executado no mesmo processo que o aplicativo da web com as mesmas permissões de sistema de arquivos e variáveis de ambiente, incluindo credenciais de banco de dados, chaves de API e conteúdo .env."
Os nomes dos pacotes estão listados abaixo -
nhattuanbl/lara-helper (37 downloads)
nhattuanbl/simple-queue (29 downloads)
nhattuanbl/lara-swagger (49 downloads)
De acordo com Socket, o pacote "nhattuanbl/lara-swagger" não incorpora diretamente código malicioso, lista "nhattuanbl/lara-helper" como uma dependência do Composer, fazendo com que ele instale o RAT. Os pacotes ainda estão disponíveis para download no registro de pacotes do PHP.
Descobriu-se que tanto lara-helper quanto simple-queue contêm um arquivo PHP chamado "src/helper.php", que emprega uma série de truques para complicar a análise estática, fazendo uso de técnicas como ofuscação de fluxo de controle, codificação de nomes de domínio, nomes de comando e caminhos de arquivo, e identificadores aleatórios para nomes de variáveis e funções.
“Uma vez carregada, a carga se conecta a um servidor C2 em helper.leuleu[.]net:2096, envia dados de reconhecimento do sistema e aguarda comandos – dando ao operador acesso remoto total ao host”, disse o pesquisador de segurança Kush Pandya.
Isso inclui o envio de informações do sistema e a análise de comandos recebidos do servidor C2 para execução subsequente no host comprometido. A comunicação ocorre via TCP usando stream_socket_client() do PHP. A lista de comandos suportados está abaixo -
ping, para enviar um batimento cardíaco automaticamente a cada 60 segundos
info, para enviar dados de reconhecimento do sistema para o servidor C2
cmd, para executar um comando shell
PowerShell, para executar um comando do PowerShell
run, para executar um comando shell em segundo plano
captura de tela, para capturar a tela usando imagegrabscreen()
download, para ler um arquivo do disco
fazer upload para um arquivo no disco e conceder permissões de leitura, gravação e execução a todos os usuários
pare, para o soquete e saia
“Para execução de shell, o RAT investiga disable_functions e escolhe o primeiro método disponível de: popen, proc_open, exec, shell_exec, system, passthru”, disse Pandya. 'Isso o torna resiliente a configurações comuns de proteção de PHP.'
Embora o servidor C2 não esteja respondendo no momento, o RAT é configurado de forma que tente novamente a conexão a cada 15 segundos em um loop persistente, tornando-o um risco à segurança. Os usuários que instalaram os pacotes são aconselhados a assumir o compromisso, removê-los, alternar todos os segredos acessíveis no ambiente do aplicativo e auditar o tráfego de saída para o servidor C2.
Além dos três pacotes mencionados acima, o agente da ameaça por trás da operação publicou três outras bibliotecas ("nhattuanbl/lara-media", "nhattuanbl/snooze" e "nhattuanbl/syslog") que são limpas, provavelmente em um esforço para construir credibilidade e enganar os usuários para que instalem os maliciosos.
"Qualquer aplicativo Laravel que instalou o lara-helper ou o simple-queue está executando um RAT persistente. O agente da ameaça tem acesso remoto completo ao shell, pode ler e gravar arquivos arbitrários e recebe um perfil de sistema contínuo para cada host conectado”, disse Socket.
"Como a ativação ocorre na inicialização do aplicativo (por meio do provedor de serviços) ou no carregamento automático da classe (por meio de fila simples), o RAT é executado no mesmo processo que o aplicativo da web com as mesmas permissões de sistema de arquivos e variáveis de ambiente, incluindo credenciais de banco de dados, chaves de API e conteúdo .env."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pacotes #falsos #do #laravel #no #packagist #implantam #rat #no #windows, #macos #e #linux
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário