Hack Alerta

Pacotes maliciosos no Packagist disfarçados de utilitários Laravel distribuem RAT em PHP

Por Redação Hack Alerta Publicado em 04/03/2026 05:03 Cyber ataques Tempo de leitura: 3 min

Ataque à cadeia de suprimentos no Packagist distribui um RAT em PHP através de pacotes disfarçados de utilitários Laravel. O malware oferece controle remoto completo e acesso a segredos da aplicação, exigindo ação imediata de desenvolvedores.

Uma campanha sofisticada de ataque à cadeia de suprimentos está visando a comunidade de desenvolvedores PHP através do repositório oficial Packagist. O ator de ameaça "nhattuanbl" publicou pacotes que, sob a aparência de bibliotecas utilitárias para o framework Laravel, escondiam um cavalo de Troia de acesso remoto (RAT) totalmente funcional, concedendo controle persistente e silencioso sobre sistemas comprometidos.

Mecanismo de infecção e stealth

A operação foi construída com camadas de ofuscação para evitar detecção. O payload malicioso, embutido em um arquivo chamado src/helper.php, foi distribuído principalmente através dos pacotes nhattuanbl/lara-helper e nhattuanbl/simple-queue. Um terceiro pacote, nhattuanbl/lara-swagger, funcionava como um vetor limpo, puxando silenciosamente o lara-helper como uma dependência obrigatória. O código malicioso emprega três técnicas principais de ofuscação: fluxo de controle fragmentado com saltos goto aleatórios, strings literais codificadas em hexadecimal/octal e nomes de variáveis e funções gerados aleatoriamente.

Capacidades do RAT e persistência

Uma vez instalado, o RAT se conecta a um servidor de comando e controle (C2) em helper[.]leuleu[.]net:2096, transmitindo um perfil completo do sistema. O tráfego é criptografado com AES-128-CTR. O backdoor permite execução remota de comandos shell e PowerShell, captura de screenshots, upload/download de arquivos e coleta de dados de reconhecimento. Mesmo se o servidor C2 cair, o RAT tenta reconectar a cada 15 segundos indefinidamente, permitindo que o atacante redirecione a conexão a qualquer momento.

Impacto amplo e resposta necessária

Qualquer aplicação Laravel que tenha instalado esses pacotes deve ser considerada totalmente comprometida. O RAT opera no mesmo processo da aplicação web, tendo acesso a todas as variáveis de ambiente, credenciais de banco de dados e chaves de API armazenadas em arquivos .env. A ameaça é cross-platform, funcionando em Windows, macOS e Linux. Analistas da Socket.dev identificaram a campanha e solicitaram a remoção dos pacotes, que ainda estavam ativos no momento da publicação.

Ações de remediação imediatas

Equipes devem remover imediatamente os pacotes nhattuanbl/lara-helper, nhattuanbl/simple-queue e nhattuanbl/lara-swagger de seus projetos. Todas as credenciais e segredos acessíveis pelo ambiente da aplicação devem ser rotacionados. É crucial auditar arquivos com permissões chmod 0777, deletar o arquivo de lock em {sys_get_temp_dir}/wvIjjnDMRaomchPprDBzzVSpzh61RCar.lock e monitorar tráfego de saída para o domínio C2. A campanha serve como um alerta severo sobre os riscos de dependências não verificadas em ecossistemas de código aberto.

Baseado em publicação original de Cyber Security News
Tags: #supply-chain #packagist #laravel #php #malware #rat #backdoor #desenvolvimento
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar