Giriş
Siber güvenlik araştırmacıları, Laravel yardımcı araçları gibi davranan zararlı Packagist PHP paketlerini tespit etti. Bu paketler, Windows, macOS ve Linux sistemlerinde çalışabilen bir platformlar arası uzaktan erişim Trojan’ı (RAT) yayıyor.
Etkilenen Paketler
Aşağıda belirtilen paketler, siber güvenlik tehditlerine neden olacak şekilde tasarlanmıştır:
- nhattuanbl/lara-helper (37 İndirme)
- nhattuanbl/simple-queue (29 İndirme)
- nhattuanbl/lara-swagger (49 İndirme)
nhattuanbl/lara-swagger paketi doğrudan zararlı kod içermemekte, ancak nhattuanbl/lara-helper paketini bir Composer bağımlılığı olarak listeleyerek RAT’ın yüklenmesine neden olmaktadır. Bu paketler, PHP paket kaydında hala indirilebilir durumdadır.
Saldırı Nasıl Çalışıyor?
İki paket (lara-helper ve simple-queue) içindeki “src/helper.php” dosyası, statik analizi zorlaştırmak için çeşitli hileler kullanmaktadır. Bu hileler şunları kapsamaktadır:
- Kontrol akışını karmaşık hale getirme
- Alan adlarını, komut adlarını ve dosya yollarını kodlama
- Değişken ve fonksiyon isimleri için rastgele tanımlayıcılar kullanma
Paket yüklendiğinde, kötü amaçlı yük, helper.leuleu[.]net:2096 adresindeki bir C2 sunucusuna bağlanarak sistem keşif verilerini gönderir ve komut bekler. Bu, operatöre ana makine üzerinde tam uzaktan erişim sağlar.
Gelen komutlar, PHP’nin stream_socket_client() arayüzü ile TCP üzerinden iletilir. Desteklenen komutlar şunlardır:
- ping: Her 60 saniyede bir kalp atışı göndermek için
- info: Sistem keşif verilerini C2 sunucusuna göndermek için
- cmd: Bir kabuk komutu çalıştırmak için
- powershell: PowerShell komutu çalıştırmak için
- run: Arka planda bir kabuk komutunu çalıştırmak için
- screenshot: Ekranı yakalamak için imagegrabscreen() kullanmak için
- download: Diskten bir dosyayı okumak için
- upload: Diskte bir dosya oluşturmak ve tüm kullanıcılara okuma, yazma ve çalıştırma izinleri vermek için
- stop: Soketi durdurmak ve çıkmak için
RAT, shell komutları için disable_functions komutunu kontrol eder ve kullanılabilir ilk yöntem olarak popen, proc_open, exec, shell_exec, system ve passthru seçeneklerini kullanır. Bu, yaygın PHP sertleştirme yapılandırmalarına karşı dirençli hale getirir.
Güvenlik Tehditleri ve Çözüm
C2 sunucusu şu anda yanıt vermiyor olsa da, RAT her 15 saniyede bir bağlantı kurmayı dener, bu da önemli bir güvenlik riski yaratır. Kullanıcıların, bu paketleri yükleyenlerin aşağıdaki adımları atması önerilmektedir:
- Zararlı paketleri kaldırın.
- Uygulama ortamından erişebilecek tüm gizli anahtarları değiştirin.
- C2 sunucusuna yapılan dışa bağlantıları denetleyin.
Ayrıca, yukarıda bahsedilen üç paketten başka, saldırganın “nhattuanbl/lara-media,” “nhattuanbl/snooze” ve “nhattuanbl/syslog” adında üç başka kütüphane yayınladığı ve bunların temiz olduğu görülmektedir. Bu durum, kullanıcıları yanıltmak için bir güvenilirlik oluşturmaya yönelik bir çaba göstermektedir.
Sonuç
Herhangi bir Laravel uygulaması, lara-helper veya simple-queue paketini yüklediğinde, sürekli bir RAT çalıştırmaktadır. Tehdit aktörü, uzak kabuk erişimine tam olarak sahiptir, rastgele dosyaları okuyup yazabilir ve her bağlı ana bilgisayar için sürekli bir sistem profilini alabilir. Bu nedenle, kullanıcıların, söz konusu paketleri hemen kaldırmaları ve başka önlemler alarak altyapılarını güvence altına almaları şarttır.
