Pacotes PHP maliciosos disfarçados de utilitários Laravel

BR Defense Center (By River de Morais e Silva)
malware

Pesquisadores de cibersegurança identificaram pacotes PHP maliciosos no Packagist, que se apresentam como utilitários do Laravel, mas atuam como um trojan de acesso remoto (RAT) em sistemas Windows, macOS e Linux. Os pacotes em questão são ’nhattuanbl/lara-helper’, ’nhattuanbl/simple-queue’ e ’nhattuanbl/lara-swagger’. O pacote ’lara-swagger’ não contém código malicioso diretamente, mas depende do ’lara-helper’, que instala o RAT. Os pacotes ainda estão disponíveis para download. O RAT, uma vez carregado, se conecta a um servidor de comando e controle (C2) e permite que o operador tenha acesso total ao sistema comprometido, incluindo a capacidade de executar comandos, capturar telas e manipular arquivos. Embora o servidor C2 esteja inativo no momento, o RAT tenta se reconectar a cada 15 segundos, representando um risco contínuo. Os usuários que instalaram esses pacotes devem considerar suas aplicações comprometidas, removê-los e auditar o tráfego de saída. Além dos pacotes maliciosos, o autor publicou outras bibliotecas limpas para ganhar credibilidade. A situação é crítica, pois qualquer aplicação Laravel que tenha instalado os pacotes mencionados está sob risco de controle remoto.

Fonte: https://thehackernews.com/2026/03/fake-laravel-packages-on-packagist.html

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
04/03/2026 • Risco: CRITICO
MALWARE

Pacotes PHP maliciosos disfarçados de utilitários Laravel

RESUMO EXECUTIVO
O incidente destaca a vulnerabilidade de aplicações Laravel a ataques por meio de pacotes maliciosos. A presença de um RAT que pode acessar dados sensíveis e executar comandos remotamente representa um risco significativo para a segurança das informações e a conformidade legal.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido a acessos não autorizados e vazamento de dados.
Operacional
Acesso remoto total ao sistema, incluindo leitura e escrita de arquivos.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']

📊 INDICADORES CHAVE

37 downloads do lara-helper. Indicador
29 downloads do simple-queue. Contexto BR
49 downloads do lara-swagger. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se os pacotes nhattuanbl/lara-helper ou nhattuanbl/simple-queue estão instalados.
2 Remover os pacotes maliciosos e auditar o tráfego de saída.
3 Monitorar tentativas de conexão com o servidor C2 e atividades suspeitas nas aplicações.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de aplicações Laravel, que são populares e amplamente utilizadas.

⚖️ COMPLIANCE

Implicações para a LGPD, especialmente em relação à proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).