كشف باحثو الأمن السيبراني عن وجود حزم PHP خبيثة على منصة Packagist تتظاهر بأنها أدوات مساعدة لإطار العمل Laravel، لكنها في الحقيقة تعمل كقناة لنشر حصان طروادة للتحكم عن بُعد (RAT) قادر على العمل عبر أنظمة التشغيل الثلاثة: Windows، macOS، وLinux.
من بين الحزم التي تم رصدها:
- nhattuanbl/lara-helper (37 تحميل)
- nhattuanbl/simple-queue (29 تحميل)
- nhattuanbl/lara-swagger (49 تحميل)
الحزمة الأخيرة لا تحتوي على كود خبيث بشكل مباشر، لكنها تعتمد على “lara-helper” كإحدى مكتباتها، مما يؤدي إلى تثبيت الـ RAT بشكل غير مباشر.
آلية عمل الـ RAT
الحزم الخبيثة تحتوي على ملف src/helper.php يستخدم تقنيات إخفاء معقدة مثل تشويش تدفق التنفيذ، وترميز أسماء النطاقات والأوامر والمسارات، إضافة إلى استخدام معرفات عشوائية للمتغيرات والدوال.
بمجرد تحميل الحزمة، يتصل الكود بخادم قيادة وتحكم (C2) على العنوان helper.leuleu[.]net:2096، ويرسل بيانات استطلاع للنظام وينتظر أوامر المهاجم، مما يمنحه وصولاً كاملاً للتحكم عن بُعد.
الأوامر المدعومة تشمل:
- ping: إرسال نبضات كل 60 ثانية.
- info: إرسال بيانات النظام.
- cmd / powershell / run: تنفيذ أوامر على النظام.
- screenshot: التقاط صور للشاشة.
- download / upload: قراءة وكتابة ملفات مع منح صلاحيات كاملة.
- stop: إيقاف الاتصال والخروج.
ولتنفيذ الأوامر، يقوم الـ RAT بفحص الدوال المعطلة في PHP ويختار أول وسيلة متاحة مثل exec، system، shell_exec، مما يجعله قادراً على تجاوز إعدادات الحماية الشائعة.
المخاطر والإجراءات الوقائية
على الرغم من أن خادم C2 غير مستجيب حالياً، إلا أن الـ RAT مبرمج لإعادة المحاولة كل 15 ثانية بشكل مستمر، مما يجعله تهديداً قائماً. ينصح الخبراء المستخدمين الذين قاموا بتثبيت هذه الحزم باعتبار أن أنظمتهم قد تعرضت للاختراق، وإزالة الحزم فوراً، وتغيير جميع المفاتيح السرية وكلمات المرور، إضافة إلى مراقبة حركة المرور الخارجة نحو الخادم المشبوه.
إلى جانب الحزم الثلاثة الخبيثة، نشر المهاجم ثلاث مكتبات أخرى نظيفة (“lara-media”، “snooze”، “syslog”) بهدف بناء مصداقية وخداع المستخدمين لتثبيت الحزم الضارة.
دلالات أمنية
أي تطبيق Laravel قام بتثبيت “lara-helper” أو “simple-queue” أصبح فعلياً مشغلاً لـ RAT دائم، يمنح المهاجم وصولاً كاملاً إلى النظام، بما في ذلك قراءة وكتابة الملفات، والوصول إلى بيانات حساسة مثل مفاتيح قواعد البيانات وملفات البيئة (.env). الأخطر أن الـ RAT يعمل ضمن نفس عملية التطبيق، مما يضاعف خطورة الاختراق ويجعل الكشف عنه أكثر صعوبة.
