Исследования безопасности выявили мошеннические пакеты Laravel на Packagist, которые раздают троянские вирусы (RAT) для доступа к системам Windows, macOS и Linux. Эти пакеты, распространившиеся под именами nhattuanbl/lara-helper, nhattuanbl/simple-queue и nhattuanbl/lara-swagger, уже успели собрать несколько десятков загрузок, что вызывает серьёзные опасения.
Основной проблемой является то, что хотя lara-swagger не содержит вредоносного кода, он устанавливает lara-helper как зависимость, что и приводит к инсталляции RAT. Некоторые из этих пакетов по-прежнему доступны для загрузки, что лишь усугубляет проблему. Hackers использовали различные техники, включая обфускацию кода, чтобы затруднить статический анализ и сделать их пакеты более незаметными.
По словам исследователя безопасности Куша Панди, после загрузки вредоносная программа подключается к командному серверу helper.leuleu[.]net:2096, отсылая информацию о системе и ожидая дальнейших команд. Эти команды могут варьироваться от выполнения shell-команд до захвата скриншотов, что предоставляет злоумышленникам полный контроль над зараженной системой. В список команд входят также ping для связи с C2 сервером и download для загрузки файлов с устройства пользователя.
В то время как сервер команд не активен, RAT настроен на постоянные попытки подключения, что делает использование этих пакетов крайне рискованным. Пользователи, инсталлировавшие указанные пакеты, должны незамедлительно удалить их, сменить все ключи доступа и провести аудит исходящего трафика на предмет подключения к C2 серверу.
Кроме указанных пакетов, злоумышленники выпустили три другие библиотеки, которые не содержат вредоносного кода, что, вероятно, использовано для создания видимости доверия к их пакету. Если ваши Laravel-приложения включают lara-helper или simple-queue, они подвержены возможному вторжению со стороны RAT, получающего неограниченный доступ к файлам и базе данных вашего приложения.
Поскольку злоумышленники могут эффективно управлять доступом и злоупотреблять данными, важно следить за тем, какие пакеты вы устанавливаете и откуда. Применяйте меры предосторожности и регулярно проверяйте безопасность ваших приложений.
