Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Paquetes PHP maliciosos

Paquetes PHP maliciosos

Por Mezo en Software malicioso
Traducir a:

Analistas de ciberseguridad han identificado paquetes PHP maliciosos en Packagist que suplantan bibliotecas auxiliares legítimas de Laravel mientras implementan de forma encubierta un troyano de acceso remoto (RAT) multiplataforma. El malware funciona sin problemas en entornos Windows, macOS y Linux, lo que supone un riesgo significativo para los sistemas afectados.

Los paquetes identificados incluyen:

  • nhattuanbl/lara-helper (37 descargas)
  • nhattuanbl/simple-queue (29 descargas)
  • nhattuanbl/lara-swagger (49 descargas)

Aunque nhattuanbl/lara-swagger no contiene directamente código malicioso, incluye nhattuanbl/lara-helper como dependencia de Composer, lo que provoca la instalación del RAT integrado. A pesar de su divulgación pública, estos paquetes permanecen accesibles en el repositorio y deben eliminarse inmediatamente de cualquier entorno afectado.

Las tácticas de ofuscación ocultan intenciones maliciosas

Un análisis detallado del código muestra que tanto lara-helper como simple-queue contienen un archivo llamado src/helper.php, diseñado para evadir la detección. El malware incorpora estrategias avanzadas de ofuscación, como la manipulación del flujo de control, nombres de dominio y cadenas de comandos codificados, rutas de archivo ocultas e identificadores aleatorios de variables y funciones.

Estas técnicas complican significativamente el análisis estático y ayudan a que la carga maliciosa evite la revisión de código convencional y las herramientas de escaneo de seguridad automatizadas.

La infraestructura de comando y control permite la toma de control total del host

Una vez ejecutado, el RAT establece una conexión con un servidor de comando y control (C2) en helper.leuleu.net, en el puerto 2096. Transmite datos de reconocimiento del sistema y entra en un estado de escucha persistente, a la espera de nuevas instrucciones. La comunicación se realiza a través de TCP mediante la función stream_socket_client() de PHP.

La puerta trasera admite una amplia gama de comandos emitidos por el operador, lo que permite un control total del sistema. Sus funciones incluyen:

  • Señales de latido automatizadas cada 60 segundos a través de ping.
  • Transmisión de datos de perfiles del sistema a través de info.
  • Ejecución de comandos de shell (cmd).
  • Ejecución de comandos de PowerShell (powershell).
  • Ejecución de comando en segundo plano (ejecutar).
  • Captura de pantalla usando imagegrabscreen() (captura de pantalla).
  • Exfiltración de archivos (descargar).
  • Carga de archivos arbitrarios con permisos de lectura, escritura y ejecución otorgados a todos los usuarios (carga).
  • Terminación de la conexión y salida (stop).

Para maximizar la confiabilidad, la RAT verifica la configuración de las funciones deshabilitadas de PHP y selecciona el primer método de ejecución disponible entre los siguientes: popen, proc_open, exec, shell_exec, system o passthru. Este enfoque adaptativo le permite eludir las medidas comunes de endurecimiento de PHP.

El mecanismo de reconexión persistente aumenta el riesgo

Aunque el servidor C2 identificado no responde actualmente, el malware está programado para reintentar conexiones cada 15 segundos en un bucle continuo. Este mecanismo de persistencia garantiza que los sistemas comprometidos permanezcan expuestos si el atacante restablece la disponibilidad del servidor.

Cualquier aplicación de Laravel que tenga instalado lara-helper o simple-queue funciona con un RAT integrado. El atacante obtiene acceso total al shell remoto, la capacidad de leer y modificar archivos arbitrarios y visibilidad continua de los detalles del sistema de cada host infectado.

El contexto de ejecución amplifica el impacto

La activación se produce automáticamente durante el arranque de la aplicación a través de un proveedor de servicios o mediante la carga automática de clases en el caso de una cola simple. Como resultado, la RAT se ejecuta dentro del mismo proceso que la aplicación web, heredando los mismos permisos del sistema de archivos y variables de entorno.

Este contexto de ejecución otorga al atacante acceso a recursos confidenciales como credenciales de la base de datos, claves de API y el contenido del archivo .env. Por lo tanto, la vulnerabilidad trasciende el control a nivel de sistema y expone por completo los secretos de la aplicación y el acceso a la infraestructura.

Estrategia para generar credibilidad mediante paquetes limpios

Investigaciones posteriores revelan que el mismo editor publicó paquetes adicionales (nhattuanbl/lara-media, nhattuanbl/snooze y nhattuanbl/syslog) que no contienen código malicioso. Estos parecen servir como artefactos para fortalecer la reputación, diseñados para aumentar la confianza y fomentar la adopción de los paquetes maliciosos.

Medidas de mitigación y respuesta inmediatas

Las organizaciones que instalaron cualquiera de los paquetes maliciosos deben asumir que la vulnerabilidad está comprometida. Las acciones de respuesta requeridas incluyen la eliminación inmediata de las bibliotecas afectadas, la rotación de todas las credenciales accesibles desde el entorno de la aplicación y una auditoría exhaustiva del tráfico de red saliente para detectar intentos de conexión a la infraestructura C2 identificada.

Si no se responde con decisión, los sistemas pueden quedar vulnerables a un nuevo acceso de atacantes si la infraestructura de comando y control vuelve a estar operativa.

Tendencias

Mas Visto

Cargando...