複数ライセンス割引見積
脅威データベース マルウェア 悪意のあるPackagist PHPパッケージ

悪意のあるPackagist PHPパッケージ

マルウェアMezoまで
翻訳内容:

サイバーセキュリティアナリストは、Packagist上で悪意のあるPHPパッケージを特定しました。これらのパッケージは、正規のLaravelヘルパーライブラリを偽装しながら、クロスプラットフォームのリモートアクセス型トロイの木馬(RAT)を密かに展開します。このマルウェアはWindows、macOS、Linux環境でシームレスに動作し、影響を受けるシステムに重大なリスクをもたらします。

特定されたパッケージには次のものが含まれます。

  • nhattuanbl/lara-helper (37 ダウンロード)
  • nhattuanbl/simple-queue (ダウンロード数 29)
  • nhattuanbl/lara-swagger (49 ダウンロード)

nhattuanbl/lara-swagger には直接悪意のあるコードは含まれていませんが、Composer の依存関係として nhattuanbl/lara-helper がリストされているため、埋め込まれた RAT がインストールされます。公開されているにもかかわらず、これらのパッケージはリポジトリ内でアクセス可能なままであり、影響を受ける環境から直ちに削除する必要があります。

難読化戦術は悪意を隠す

詳細なコード分析の結果、lara-helperとsimple-queueの両方に、検出を回避するために設計されたsrc/helper.phpというファイルが含まれていることが判明しました。このマルウェアは、制御フローの操作、暗号化されたドメイン名とコマンド文字列、隠蔽されたファイルパス、ランダム化された変数および関数識別子など、高度な難読化戦略を採用しています。

これらの手法により、静的分析が大幅に複雑化し、悪意のあるペイロードが従来のコードレビューや自動セキュリティスキャンツールを回避するのに役立ちます。

コマンドアンドコントロールインフラストラクチャにより完全なホスト乗っ取りが可能

RATが実行されると、helper.leuleu.netのポート2096にあるコマンドアンドコントロール(C2)サーバーへの接続を確立します。システム偵察データを送信し、永続的なリスニング状態に入り、さらなる指示を待ちます。通信はPHPのstream_socket_client()関数を使用してTCP経由で行われます。

バックドアは、オペレータが発行する幅広いコマンドをサポートし、システムを完全に制御できます。機能には以下が含まれます。

  • 60 秒ごとに ping 経由でハートビート信号を自動的に送信します。
  • info を通じてシステム プロファイリング データを送信します。
  • シェル コマンドの実行 (cmd)。
  • PowerShell コマンド実行 (powershell)。
  • バックグラウンド コマンド実行 (run)。
  • imagegrabscreen() を使用したスクリーンキャプチャ (スクリーンショット)。
  • ファイルの流出(ダウンロード)。
  • すべてのユーザーに読み取り、書き込み、実行権限を付与した任意のファイルのアップロード (アップロード)。
  • 接続を終了して終了(停止)。

    • 信頼性を最大限に高めるため、RATはPHPのdisable_functions設定をチェックし、popen、proc_open、exec、shell_exec、system、passthruの中から利用可能な最初の実行方法を選択します。この適応型アプローチにより、RATは一般的なPHPの強化対策を回避できます。

    持続的な再接続メカニズムはリスクを増大させる

    特定されたC2サーバーは現在応答していませんが、マルウェアは15秒ごとに接続を再試行するようにプログラムされており、このループを継続的に実行します。この永続化メカニズムにより、攻撃者がサーバーの可用性を回復した場合でも、侵害されたシステムは無防備な状態のままとなります。

    lara-helper または simple-queue をインストールした Laravel アプリケーションは、実質的に埋め込み型 RAT によって動作します。脅威アクターは、完全なリモートシェルアクセス、任意のファイルの読み取りと変更、そして感染した各ホストのシステムレベルの詳細を継続的に可視化できるようになります。

    実行コンテキストが影響を増幅する

    アクティベーションは、サービスプロバイダー経由、またはシンプルキューの場合はクラスのオートロードを通じて、アプリケーションの起動時に自動的に行われます。その結果、RATはWebアプリケーションと同じプロセス内で実行され、同一のファイルシステム権限と環境変数を継承します。

    この実行コンテキストにより、攻撃者はデータベースの認証情報、APIキー、.envファイルの内容といった機密資産へのアクセスが可能になります。そのため、侵害はシステムレベルの制御にとどまらず、アプリケーションの機密情報やインフラストラクチャへのアクセスが完全に漏洩する事態にまで及ぶ可能性があります。

    クリーンパッケージによる信頼性構築戦略

    さらに調査を進めると、同じパブリッシャーが、悪意のあるコードを含まないnhattuanbl/lara-media、nhattuanbl/snooze、nhattuanbl/syslogという追加パッケージをリリースしていたことが判明しました。これらは、信頼を高め、武器化されたパッケージの採用を促すことを目的とした、評判を高めるためのアーティファクトとして機能しているようです。

    即時の緩和と対応策

    悪意のあるパッケージをインストールした組織は、侵害が発生したと想定する必要があります。必要な対応措置としては、影響を受けるライブラリの即時削除、アプリケーション環境からアクセス可能なすべての認証情報のローテーション、特定されたC2インフラストラクチャへの接続試行に関する送信ネットワークトラフィックの徹底的な監査などが挙げられます。

    断固たる対応を怠ると、コマンドアンドコントロールインフラストラクチャが再び稼働した場合に、システムが新たな攻撃者のアクセスに対して脆弱になる可能性があります。

    トレンド

    Dohdoor Backdoor

    バックドア, 高度な持続的脅威 (APT)
    これまで記録されていなかった脅威活動クラスターが、少なくとも2025年12月以降、米国全土の教育および医療分野を標的とした進行中の悪意のあるキャンペーンに関連付けられていることが判明しました。セキュリティ研究者は、この活動をUAT-10027という名称で追跡しています。このキャンペーンの主な目的は、新たに特定された「Dohdoor」と呼ばれるバックドアを展開することです。 複数の教育機関が既...

    Getfastbrowser.download

    不正なウェブサイト, 望ましくない可能性のあるプログラム
    侵入型で信頼できないアプリケーションからデバイスを保護することは、もはやオプションではなく、必須です。潜在的に不要なプログラム(PUP)は一見無害に見えるかもしれませんが、ブラウザ設定に干渉したり、欺瞞的なコンテンツにさらしたり、全体的なセキュリティ体制を弱めたりする可能性があります。懸念される最近の例としては、侵入型のブラウザハイジャッカー活動と頻繁に関連付けられる怪しいページであるGet...

    KIMCHIエアドロップ詐欺

    不正なウェブサイト
    今日のデジタル環境において、ウェブ閲覧時の注意はこれまで以上に重要です。サイバー犯罪者は絶えず手口を洗練させ、好奇心を餌に簡単に報酬を得られると謳う、説得力のある手口を編み出しています。取引が取り消し不能で匿名性が当たり前となっている暗号通貨の世界では、たった一度のミスが永続的な経済的損失につながる可能性があります。 KIMCHIエアドロップ詐欺が発覚 kimchipump.comとkimc...

    最も見られました

    「プリンタドライバが利用できません」エラーを修正する方法

    問題
    35,780
    プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

    修正方法「macOSはこのアプリにマルウェアがないことを確認できません」

    問題
    29,026
    Macユーザーは通常、不明な開発者または公式のApp Storeで入手できず、サードパーティのアプリから提供されているアプリケーションをインストールしようとしているときに、「macOSはこのアプリにマルウェアがないことを確認できません」というメッセージが表示されます。licationプラットフォーム。このような場合、Gatekeepと呼ばれる組み込みのMacセキュリティシステムは、特定のアプ...
    画面を共有するとDiscordが黒い画面を表示するスクリーンショット

    画面を共有するとDiscordが黒い画面を表示する

    問題
    28,718
    最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
    読み込んでいます...