🗓 الأربعاء - 4 مارس 2026، 02:50 مساءً |
⏱ 2 دقيقة |
👁 11 مشاهدة
حزم Laravel الخبيثة على Packagist تحولت إلى قناة لنشر RAT عابر للأنظمة يستهدف خوادم ويندوز وماك ولينكس ويهدد بيانات التطوير.ما هي حزم Laravel الخبيثة على Packagist؟رصد باحثون أمنيون حزماً على Packagist تتخفى كأدوات Laravel لكنها تنفذ برمجية وصول عن بُعد تعمل على ويندوز وماك ولينكس. وفقاً لتقرير تيكبامين، الاستهداف يركز على بيئات التطوير وسيرفرات الإنتاج التي تعتمد Composer تلقائياً.الحزمة nhattuanbl/lara-swagger لا تتضمن شيفرة خبيثة مباشرة، لكنها تضيف lara-helper كاعتماد إلزامي، ما يثبّت الحمولة عند التثبيت. اللافت أن هذه الحزم ما زالت متاحة للتنزيل.ما الحزم المتأثرة والموثوقة؟جهة التهديد نشرت أيضاً مكتبات نظيفة لبناء الثقة قبل دفع المطورين لتثبيت الحزم المصابة. هذا الأسلوب يزيد احتمالات التثبيت داخل المشاريع الكبيرة.nhattuanbl/lara-swagger: نقطة دخول تعتمد على lara-helper.nhattuanbl/lara-helper: تحتوي الحمولة وتنشط مع الإقلاع.nhattuanbl/simple-queue: تشغل الكود عبر autoload.nhattuanbl/lara-media: مكتبة نظيفة لكسب الثقة.nhattuanbl/snooze: حزمة غير ضارة بحسب الفحوصات.nhattuanbl/syslog: منشور نظيف ضمن نفس الحساب.كيف يتهرب RAT من التحليل؟تم العثور في lara-helper وsimple-queue على ملف src/helper.php يستخدم إخفاء تدفق التحكم وترميز أسماء النطاقات والأوامر ومسارات الملفات، مع أسماء متغيرات عشوائية لتعقيد التحليل. هذه التقنيات تجعل اكتشاف السلوك الضار أصعب أثناء المراجعة اليدوية.بعد التحميل، يتصل RAT بخادم C2 على helper.leuleu[.]net:2096 ويرسل بيانات استطلاعية عن النظام وينتظر الأوامر، ما يمنح المهاجم تحكماً كاملاً. التشغيل يحدث مع إقلاع التطبيق عبر Service Provider أو autoload.كيف تتم الاتصالات والأوامر؟الاتصال يتم عبر TCP باستخدام stream_socket_client في PHP، ثم يبدأ التنفيذ في نفس عملية تطبيق الويب وبنفس الصلاحيات. هذا يعني أن قواعد البيانات والملفات الحساسة قد تكون مكشوفة.جمع معلومات النظام وإصدار PHP.إرسال بصمة الجهاز إلى خادم التحكم.استقبال الأوامر وتنفيذها على الخادم.الإبقاء على قناة اتصال مستمرة.ما الأوامر التي يدعمها RAT؟لاختيار طريقة تنفيذ الأوامر، يفحص البرمجية disable_functions ويختار أول دالة متاحة، ما يجعله مقاوماً لإعدادات التقسية الشائعة. هذا السلوك يزيد خطورة الاختراق حتى على الخوادم المقفلة.popenproc_openexecshell_execsystempassthruكيف تحمي تطبيقك من حزم Laravel الخبيثة؟رغم أن خادم التحكم غير مستجيب حالياً، إلا أن البرمجية تعيد محاولة الاتصال كل 15 ثانية في حلقة دائمة، ما يبقي الخطر قائماً. لذلك يُنصح باعتبار النظام مخترقاً عند تثبيت أي من الحزم.إزالة الحزم المصابة من composer.json فوراً.تدوير كلمات المرور والمفاتيح السرية والرموز.مراجعة الحركة الصادرة نحو helper.leuleu[.]net:2096.تدقيق سجلات الخادم وعمليات PHP المشبوهة.تثبيت الاعتمادات عبر ملفات قفل ومراجعة دورية.في النهاية، تبقى حزم Laravel الخبيثة تهديداً عملياً لأي مشروع يعتمد التحديثات تلقائياً، خصوصاً عند غياب المراجعة. ينصح تيكبامين بتدقيق الاعتمادات وإضافة فحص أمني قبل النشر لتقليل المخاطر.