Packagist

Uma nova campanha de ataque coordenado à cadeia de suprimentos impactou oito pacotes no Packagist, incluindo código malicioso que executa um binário Linux a partir de uma URL do GitHub. Os pacotes afetados, todos relacionados ao Composer, tiveram o código malicioso inserido no arquivo package.json, em vez do composer.json, o que pode passar despercebido por desenvolvedores e equipes de segurança que focam apenas nas dependências do Composer. O código malicioso, que foi removido do Packagist, inclui um script postinstall que baixa um binário Linux, altera suas permissões e o executa em segundo plano. A análise revelou que o mesmo payload foi encontrado em 777 arquivos no GitHub, sugerindo uma campanha mais ampla. O nome do malware, ‘gvfsd-network’, é uma referência a um daemon do GNOME, e a natureza exata do payload baixado permanece desconhecida, pois a conta do GitHub associada foi desativada. A instalação maliciosa pode permitir execução remota de código e tenta ocultar suas atividades desativando a verificação TLS e suprimindo erros.

Pesquisadores de cibersegurança identificaram pacotes PHP maliciosos no Packagist, que se apresentam como utilitários do Laravel, mas atuam como um trojan de acesso remoto (RAT) em sistemas Windows, macOS e Linux. Os pacotes em questão são ’nhattuanbl/lara-helper’, ’nhattuanbl/simple-queue’ e ’nhattuanbl/lara-swagger’. O pacote ’lara-swagger’ não contém código malicioso diretamente, mas depende do ’lara-helper’, que instala o RAT. Os pacotes ainda estão disponíveis para download. O RAT, uma vez carregado, se conecta a um servidor de comando e controle (C2) e permite que o operador tenha acesso total ao sistema comprometido, incluindo a capacidade de executar comandos, capturar telas e manipular arquivos. Embora o servidor C2 esteja inativo no momento, o RAT tenta se reconectar a cada 15 segundos, representando um risco contínuo. Os usuários que instalaram esses pacotes devem considerar suas aplicações comprometidas, removê-los e auditar o tráfego de saída. Além dos pacotes maliciosos, o autor publicou outras bibliotecas limpas para ganhar credibilidade. A situação é crítica, pois qualquer aplicação Laravel que tenha instalado os pacotes mencionados está sob risco de controle remoto.