Cybersicherheitsexperten haben manipulierte PHP-Pakete auf Packagist entdeckt, die sich als Laravel-Tools tarnen und einen Remote-Access-Trojaner (RAT) auf Windows, macOS und Linux installieren.
Sicherheitsforscher haben Alarm geschlagen: Auf der PHP-Paketplattform Packagist zirkulieren bösartige Pakete, die sich als nützliche Laravel-Erweiterungen ausgeben, aber tatsächlich einen plattformübergreifenden Remote-Access-Trojaner (RAT) einschleusen. Dieser funktioniert auf Windows, macOS und Linux.
Das Paket “nhattuanbl/lara-swagger” enthält selbst keine Schadsoftware, listetet aber “nhattuanbl/lara-helper” als Abhängigkeit auf – genau hier sitzt der RAT. Ebenso infiziert ist “simple-queue”. Beide Pakete sind nach wie vor im Repository abrufbar.
Both Pakete enthalten eine PHP-Datei namens “src/helper.php”, die mit verschiedenen Techniken zur Code-Verschleierung arbeitet: Kontrollfluss-Obfuskation, verschlüsselte Domain-Namen, Befehle und Dateipfade sowie zufällig generierte Variablen- und Funktionsnamen erschweren die statische Analyse erheblich.
“Nach dem Laden verbindet sich der Trojaner mit einem Command-and-Control-Server unter helper.leuleu[.]net:2096, sendet Systeminformationen und wartet auf Befehle – der Angreifer erhält damit vollständigen Fernzugriff”, erklärt Sicherheitsforscher Kush Pandya. Die Kommunikation erfolgt über TCP mittels PHPs stream_socket_client()-Funktion.
Bei der Shell-Ausführung ist der RAT besonders durchtrieben: Er prüft die PHP-Einstellung disable_functions und nutzt die erste verfügbare Methode – popen, proc_open, exec, shell_exec, system oder passthru. Dies macht ihn resistent gegen gängige PHP-Härtungsmaßnahmen.
Obwohl der C2-Server derzeit offline ist, bleibt das Risiko erheblich: Der RAT ist so konfiguriert, dass er alle 15 Sekunden einen Verbindungsversuch startet.
Betroffen sind auch drei weitere “saubere” Pakete desselben Entwicklers (“nhattuanbl/lara-media”, “nhattuanbl/snooze”, “nhattuanbl/syslog”), die der Akteur wahrscheinlich veröffentlichte, um Vertrauen aufzubauen.
Wer die betroffenen Pakete installiert hat, sollte das System als kompromittiert betrachten: Pakete entfernen, alle Secrets rotieren und den Outbound-Traffic zum C2-Server prüfen. Nach Socket haben infizierte Laravel-Anwendungen einen persistenten RAT im selben Prozess wie die Webanwendung – mit den gleichen Dateisystem-Berechtigungen und Zugriff auf Umgebungsvariablen wie Datenbankzugänge, API-Schlüssel und .env-Dateien.
Quelle: The Hacker News