偽のLaravelパッケージがPackagistでRATを配布
サイバーセキュリティ研究者らは、Laravelユーティリティを装った悪意のあるPHPパッケージが、Windows、macOS、Linuxシステムで機能するクロスプラットフォームのリモートアクセストロイアン(RAT)を配布していると警告しました。
悪意のあるパッケージ
悪意のあるパッケージの名前は以下の通りです:
- nhattuanbl/lara-helper (ダウンロード数:37)
- nhattuanbl/simple-queue (ダウンロード数:29)
- nhattuanbl/lara-swagger (ダウンロード数:49)
Socketによると、「nhattuanbl/lara-swagger」パッケージ自体には悪意のあるコードが直接埋め込まれていないものの、「nhattuanbl/lara-helper」をComposerの依存関係としてリストしており、これによりRATがインストールされます。
RATの機能
「lara-helper」と「simple-queue」の両パッケージは、「src/helper.php」という名前のPHPファイルを含んでおり、制御フローの混淆、ドメイン名やコマンド名、ファイルパスのエンコード、変数や関数名のランダム化といった手法を用いて、静的解析を難しくしています。
このペイロードは、C2サーバー(helper.leuleu.net:2096)に接続し、システムの調査データを送信し、コマンドを待機します。これにより、攻撃者はホストに完全なリモートアクセスを取得します。
サポートされるコマンド
サポートされるコマンドは以下の通りです:
- ping:60秒ごとに自動的にハートビートを送信
- info:システムの調査データをC2サーバーに送信
- cmd:シェルコマンドを実行
- powershell:PowerShellコマンドを実行
- run:バックグラウンドでシェルコマンドを実行
- screenshot:スクリーンショットをキャプチャ
- download:ディスクからファイルを読み込む
- upload:ファイルをディスクにアップロードし、すべてのユーザーに読み取り、書き込み、実行の権限を付与
- stop:ソケットを停止し、終了
対策
これらのパッケージをインストールしたユーザーは、侵害を想定し、パッケージを削除し、アプリケーション環境からアクセス可能なすべてのシークレットを更新し、C2サーバーへのアウトバウンドトラフィックを監査することを推奨されています。
まとめ
これらのパッケージは、Laravelアプリケーションが起動する際に(サービスプロバイダーまたはsimple-queueのクラスオートロードを通じて)RATを実行します。これにより、RATはWebアプリケーションと同じプロセスで実行され、同じファイルシステムの権限と環境変数(データベース資格情報、APIキー、.envの内容を含む)を共有します。
元記事: https://thehackernews.com/2026/03/fake-laravel-packages-on-packagist.html