Packagist

Pesquisadores de cibersegurança identificaram pacotes PHP maliciosos no Packagist, que se apresentam como utilitários do Laravel, mas atuam como um trojan de acesso remoto (RAT) em sistemas Windows, macOS e Linux. Os pacotes em questão são ’nhattuanbl/lara-helper’, ’nhattuanbl/simple-queue’ e ’nhattuanbl/lara-swagger’. O pacote ’lara-swagger’ não contém código malicioso diretamente, mas depende do ’lara-helper’, que instala o RAT. Os pacotes ainda estão disponíveis para download. O RAT, uma vez carregado, se conecta a um servidor de comando e controle (C2) e permite que o operador tenha acesso total ao sistema comprometido, incluindo a capacidade de executar comandos, capturar telas e manipular arquivos. Embora o servidor C2 esteja inativo no momento, o RAT tenta se reconectar a cada 15 segundos, representando um risco contínuo. Os usuários que instalaram esses pacotes devem considerar suas aplicações comprometidas, removê-los e auditar o tráfego de saída. Além dos pacotes maliciosos, o autor publicou outras bibliotecas limpas para ganhar credibilidade. A situação é crítica, pois qualquer aplicação Laravel que tenha instalado os pacotes mencionados está sob risco de controle remoto.