Siber güvenlik araştırmacıları, Windows, macOS ve Linux sistemlerinde işlevsel olan platformlar arası uzaktan erişim truva atı (RAT) için bir kanal görevi gören Laravel yardımcı programları gibi görünen kötü amaçlı Packagist PHP paketlerini işaretledi.
Paketlerin adları aşağıda listelenmiştir –
Socket'e göre, "nhattuanbl/lara-swagger" paketi doğrudan kötü amaçlı kod yerleştirmiyor, "nhattuanbl/lara-helper"ı Composer bağımlılığı olarak listeliyor ve RAT'ın yüklenmesine neden oluyor. Paketler hala PHP paket kayıt defterinden indirilebilir.
Hem lara-helper hem de simple-queue'nun, kontrol akışı gizleme, etki alanı adlarını, komut adlarını ve dosya yollarını kodlama ve değişken ve işlev adları için rastgele tanımlayıcılar gibi tekniklerden yararlanarak statik analizi karmaşık hale getirmek için bir dizi hile kullanan "src/helper.php" adlı bir PHP dosyası içerdiği bulunmuştur.
Güvenlik araştırmacısı Kush Pandya, "Yüklendikten sonra, yük helper.leuleu[.]net:2096 adresindeki bir C2 sunucusuna bağlanıyor, sistem keşif verilerini gönderiyor ve komutları bekliyor; bu da operatöre ana makineye tam uzaktan erişim sağlıyor." dedi.
Buna sistem bilgilerinin gönderilmesi ve C2 sunucusundan alınan komutların ele geçirilen ana bilgisayarda daha sonra yürütülmek üzere ayrıştırılması da dahildir. İletişim, PHP'nin Stream_socket_client() yöntemini kullanarak TCP üzerinden gerçekleşir. Desteklenen komutların listesi aşağıdadır –
Pandya, "Kabuk yürütmesi için RAT, devre dışı_işlevleri araştırır ve mevcut ilk yöntemi seçer: popen, proc_open, exec, Shell_exec, system, passthru" dedi Pandya. 'Bu, onu yaygın PHP güçlendirme yapılandırmalarına karşı dayanıklı hale getiriyor."
C2 sunucusu şu anda yanıt vermese de RAT, bağlantıyı her 15 saniyede bir kalıcı bir döngüde yeniden deneyecek şekilde yapılandırılmıştır ve bu durum bir güvenlik riski oluşturmaktadır. Paketleri kuran kullanıcılara, güvenliğin ihlal edildiğini varsaymaları, bunları kaldırmaları, uygulama ortamından erişilebilen tüm sırları döndürmeleri ve C2 sunucusuna giden trafiği denetlemeleri tavsiye edilir.
Bu gelişme, kurumların tehdit görünürlüğü, yama yönetimi, güvenli geliştirme süreçleri ve olay müdahale hazırlığı açısından siber güvenlik gündemini daha yakından izlemesi gerektiğini gösteriyor.
Kaynak: The Hacker News
