Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Packages PHP de Packagist malveillants

Packages PHP de Packagist malveillants

Par Mezo en Logiciels malveillants
Se traduisent par :

Des analystes en cybersécurité ont identifié sur Packagist des packages PHP malveillants qui usurpent l'identité de bibliothèques d'assistance Laravel légitimes tout en déployant subrepticement un cheval de Troie d'accès à distance (RAT) multiplateforme. Ce logiciel malveillant fonctionne de manière transparente sous Windows, macOS et Linux, ce qui représente un risque important pour les systèmes infectés.

Les colis identifiés comprennent :

  • nhattuanbl/lara-helper (37 téléchargements)
  • nhattuanbl/simple-queue (29 téléchargements)
  • nhattuanbl/lara-swagger (49 téléchargements)

Bien que nhattuanbl/lara-swagger ne contienne pas directement de code malveillant, il inclut nhattuanbl/lara-helper comme dépendance de Composer, ce qui entraîne l'installation du RAT intégré. Malgré la divulgation publique de ce problème, ces paquets restent accessibles dans le dépôt et doivent être immédiatement supprimés de tout environnement affecté.

Les tactiques d’obscurcissement dissimulent les intentions malveillantes

Une analyse détaillée du code révèle que lara-helper et simple-queue contiennent tous deux un fichier nommé src/helper.php conçu pour échapper à la détection. Le logiciel malveillant intègre des techniques d'obfuscation avancées, notamment la manipulation du flux de contrôle, le chiffrement des noms de domaine et des chaînes de commandes, le masquage des chemins d'accès aux fichiers et la randomisation des identifiants de variables et de fonctions.

Ces techniques compliquent considérablement l'analyse statique et permettent à la charge utile malveillante de contourner les outils classiques d'analyse de code et d'analyse de sécurité automatisée.

L’infrastructure de commande et de contrôle permet une prise de contrôle complète de l’hôte.

Une fois lancé, le RAT établit une connexion avec un serveur de commande et de contrôle (C2) à l'adresse helper.leuleu.net sur le port 2096. Il transmet des données de reconnaissance système et passe en mode d'écoute permanent, en attente d'instructions supplémentaires. La communication s'effectue via TCP à l'aide de la fonction stream_socket_client() de PHP.

La porte dérobée prend en charge un large éventail de commandes émises par l'opérateur, permettant un contrôle total du système. Ses fonctionnalités incluent :

  • Signal de battement de cœur automatisé toutes les 60 secondes via ping.
  • Transmission des données de profilage système via info.
  • Exécution de commandes shell (cmd).
  • Exécution de commandes PowerShell (powershell).
  • Exécution de commandes en arrière-plan (run).
  • Capture d'écran à l'aide de imagegrabscreen() (screenshot).
  • Exfiltration de fichiers (téléchargement).
  • Téléchargement de fichiers arbitraires avec autorisations de lecture, d'écriture et d'exécution accordées à tous les utilisateurs (téléchargement).
  • Fin de la connexion et sortie (arrêt).

Pour une fiabilité maximale, le RAT vérifie la configuration PHP `disable_functions` et sélectionne la première méthode d'exécution disponible parmi les suivantes : `popen`, `proc_open`, `exec`, `shell_exec`, `system` ou `passthru`. Cette approche adaptative lui permet de contourner les mesures de sécurité PHP courantes.

Le mécanisme de reconnexion persistant augmente le risque

Bien que le serveur C2 identifié soit actuellement hors service, le logiciel malveillant est programmé pour tenter de se reconnecter toutes les 15 secondes, en boucle continue. Ce mécanisme de persistance garantit que les systèmes compromis restent vulnérables même si l'attaquant rétablit la disponibilité du serveur.

Toute application Laravel ayant installé lara-helper ou simple-queue fonctionne de fait avec un RAT intégré. L'attaquant obtient ainsi un accès shell distant complet, la possibilité de lire et de modifier des fichiers arbitraires, ainsi qu'une visibilité continue sur les détails système de chaque hôte infecté.

Le contexte d’exécution amplifie l’impact

L'activation se produit automatiquement au démarrage de l'application, soit via un fournisseur de services, soit par chargement automatique de classes dans le cas de simple-queue. De ce fait, le RAT s'exécute au sein du même processus que l'application web, héritant ainsi des mêmes permissions de système de fichiers et variables d'environnement.

Ce contexte d'exécution permet à l'attaquant d'accéder à des ressources sensibles telles que les identifiants de base de données, les clés API et le contenu du fichier .env. La compromission s'étend donc au-delà du simple contrôle du système et expose totalement les secrets de l'application et l'accès à l'infrastructure.

Stratégie de renforcement de la crédibilité grâce à des emballages propres

Des investigations complémentaires révèlent que le même éditeur a publié des paquets supplémentaires – nhattuanbl/lara-media, nhattuanbl/snooze et nhattuanbl/syslog – qui ne contiennent aucun code malveillant. Ces paquets semblent servir à renforcer la réputation de l'éditeur, à accroître la confiance et à encourager l'adoption des paquets malveillants.

Mesures d’atténuation et de réponse immédiates

Les organisations ayant installé l'un de ces logiciels malveillants doivent considérer leur système comme compromis. Les mesures à prendre comprennent la suppression immédiate des bibliothèques concernées, le renouvellement de tous les identifiants accessibles depuis l'environnement applicatif et un audit approfondi du trafic réseau sortant afin de détecter toute tentative de connexion à l'infrastructure C2 identifiée.

L’absence de réaction décisive pourrait rendre les systèmes vulnérables à un nouvel accès des attaquants si l’infrastructure de commande et de contrôle redevenait opérationnelle.

Tendance

Le plus regardé

Chargement...