悪意のあるLaravelパッケージがPHP RATを配布、攻撃者がリモートアクセスを獲得
Socketの脅威研究チームは、悪意のあるPackagistパッケージがLaravelヘルパーユーティリティとして偽装し、難読化されたPHPリモートアクセストロイア(RAT)を配布していることを発見しました。このRATは、攻撃者が完全なリモートコントロールを獲得できるように、侵害されたホストを完全に制御下に置きます。
脅威の概要
悪意のあるパッケージの2つ、nhattuanbl/lara-helperとnhattuanbl/simple-queueは、src/helper.phpファイルにバイト単位で同一のRATペイロードを埋め込んでいます。3つ目のパッケージ、nhattuanbl/lara-swaggerは表面上は無害ですが、lara-helperに依存しているため、開発者がswaggerユーティリティを必要とするたびに、マルウェアがインストールされます。
脅威の展開
脅威アクターのnhattuanblは、2024年6月から12月の間に短い期間で6つのLaravelテーマのパッケージを公開しました。
ペイロードの動作と持続性
悪意のあるhelper.phpスクリプトは、難読化が施されており、単一の27KBの行として配布されます。スクリプトは、ランタイムでバックグラウンドのPHPプロセスとして再起動し、helper[.]leuleu[.]net:2096に接続してコマンドとコントロール(C2)サーバーと通信します。
対策
組織が影響を受けるパッケージをインストールした場合、ホストを侵害されたものとして扱い、パッケージとhelper.phpペイロードを削除し、関連するロックファイルを削除し、アプリケーション環境からアクセス可能なすべてのシークレットを更新する必要があります。
インジケーターオブコムプロイズ(IOCs)
- 悪意のあるパッケージ: nhattuanbl/lara-helper (Packagist, version 5.4.7)
- 悪意のあるパッケージ: nhattuanbl/simple-queue (Packagist, version 1.5)
- 悪意のあるパッケージ: nhattuanbl/lara-swagger (Packagist, version 2.0)
- 脅威アクターのハンドル: nhattuanbl
- 登録メールアドレス: nhattuanbl@gmail[.]com
- C2 / ネットワークインジケーター: helper[.]leuleu[.]net:2096
- 悪意のあるファイルパス: src/helper.php
- ファイルハッシュ(SHA-256): a493ce9509c5180e997a04cab2006a48202afbb8edfa15149a4521067191ead7
まとめ
セキュリティチームは、トランジティブなComposer依存関係を慎重に調査し、ブート時にPHPファイルを無条件で読み込むパッケージをフラグし、生産環境でdev-master制約を使用しないように注意する必要があります。