伪装Laravel工具包的恶意软件攻击多平台系统

网络安全研究人员发现了伪装成Laravel实用工具的恶意Packagist PHP软件包，这些软件包充当跨平台远程访问木马的传播渠道，可在Windows、macOS和Linux系统上运行。

恶意软件包清单

发现的恶意软件包名称如下：

nhattuanbl/lara-helper（37次下载）

nhattuanbl/simple-queue（29次下载）

nhattuanbl/lara-swagger（49次下载）

据Socket安全公司报告，"nhattuanbl/lara-swagger"软件包本身并未直接嵌入恶意代码，但将"nhattuanbl/lara-helper"列为Composer依赖项，导致在安装过程中部署远程访问木马。这些软件包目前仍可从PHP软件包注册中心下载。

技术实现机制

lara-helper和simple-queue软件包都包含一个名为"src/helper.php"的PHP文件，该文件采用多种技巧来复杂化静态分析，包括控制流混淆、域名编码、命令名称和文件路径编码，以及变量和函数名称的随机标识符。

安全研究员Kush Pandya表示："一旦加载，有效载荷会连接到位于helper.leuleu[.]net:2096的命令控制服务器，发送系统侦察数据，并等待命令执行，为攻击者提供对主机的完全远程访问权限。"

木马功能特性

该远程访问木马支持以下命令功能：

ping：每60秒自动发送心跳信号

info：向命令控制服务器发送系统侦察数据

cmd：运行shell命令

powershell：运行PowerShell命令

run：在后台运行shell命令

screenshot：使用imagegrabscreen()函数捕获屏幕截图

download：从磁盘读取文件

upload：上传文件到磁盘并为所有用户授予读取、写入和执行权限

stop：关闭套接字并退出

Pandya指出："对于shell执行，远程访问木马会探测disable_functions配置，并从popen、proc_open、exec、shell_exec、system、passthru等方法中选择第一个可用的方法。这使其能够抵御常见的PHP安全加固配置。"

安全威胁评估

虽然命令控制服务器目前无响应，但远程访问木马被配置为每15秒在持续循环中重试连接，这构成了安全风险。建议已安装这些软件包的用户假设系统已被入侵，立即删除相关软件包，轮换应用程序环境中可访问的所有密钥，并审计到命令控制服务器的出站流量。

除了上述三个恶意软件包外，该威胁行为者还发布了三个清洁的库（"nhattuanbl/lara-media"、"nhattuanbl/snooze"和"nhattuanbl/syslog"），可能是为了建立可信度并诱使用户安装恶意软件包。

Socket安全公司警告："任何安装了lara-helper或simple-queue的Laravel应用程序都在运行持久性远程访问木马。威胁行为者拥有完全的远程shell访问权限，可以读写任意文件，并持续接收每个连接主机的系统配置文件。"

"由于激活发生在应用程序启动时（通过服务提供商）或类自动加载时（通过simple-queue），远程访问木马在与Web应用程序相同的进程中运行，具有相同的文件系统权限和环境变量，包括数据库凭据、API密钥和.env文件内容。"

Q&A

Q1：这些伪装成Laravel工具包的恶意软件包有哪些名称？

A：发现的恶意软件包包括nhattuanbl/lara-helper（37次下载）、nhattuanbl/simple-queue（29次下载）和nhattuanbl/lara-swagger（49次下载）。其中lara-swagger通过依赖关系安装lara-helper来部署木马。

Q2：这个远程访问木马具备哪些攻击能力？

A：该木马支持多种命令功能，包括发送心跳信号、收集系统信息、执行shell和PowerShell命令、后台运行程序、截取屏幕、上传下载文件等。攻击者可获得完全的远程shell访问权限。

Q3：如果已经安装了这些恶意软件包应该怎么办？

A：建议立即假设系统已被入侵，删除相关软件包，轮换应用程序环境中的所有密钥和凭据，审计到命令控制服务器的出站流量，并检查数据库凭据、API密钥等敏感信息是否泄露。