CometSoul

make IT easy

  • Bahasa Indonesia
  • English

    • Paket Laravel Palsu di Packagist Menyebarkan RAT ke Windows, macOS, dan Linux

    by

    Juni Artawan
    in

    Peneliti keamanan siber menemukan beberapa paket Laravel berbahaya di Packagist yang menyamar sebagai utilitas Laravel, namun sebenarnya memasang Remote Access Trojan (RAT) yang dapat menginfeksi Windows, macOS, dan Linux. Paket ini terlihat seperti library biasa, tetapi dirancang untuk memberikan akses jarak jauh kepada penyerang.

    Paket yang terdeteksi berbahaya antara lain:

    • nhattuanbl/lara-helper
    • nhattuanbl/simple-queue
    • nhattuanbl/lara-swagger

    Menurut peneliti dari Socket, paket lara-swagger tidak mengandung malware secara langsung, tetapi memiliki dependensi Composer ke lara-helper, yang kemudian memasang RAT pada sistem target. Meskipun sudah dilaporkan, paket tersebut masih tersedia di repositori Packagist saat laporan dipublikasikan.

    Malware Disembunyikan dengan Teknik Obfuscation

    Paket lara-helper dan simple-queue memiliki file PHP bernama src/helper.php yang berisi kode berbahaya. Kode ini menggunakan berbagai teknik obfuscation seperti pengacakan alur kontrol, encoding domain, encoding perintah, serta nama fungsi dan variabel yang diacak untuk menyulitkan analisis.

    Ketika dijalankan, malware akan terhubung ke server command-and-control (C2) di helper.leuleu[.]net:2096. Sistem yang terinfeksi akan mengirimkan informasi sistem ke server penyerang dan menunggu perintah selanjutnya, sehingga penyerang dapat memperoleh akses penuh ke host yang terkompromi.

    Kemampuan RAT dan Perintah yang Didukung

    Malware ini berkomunikasi dengan server C2 melalui koneksi TCP menggunakan fungsi PHP stream_socket_client(). RAT tersebut mendukung berbagai perintah untuk mengendalikan sistem, antara lain:

    • ping – mengirim sinyal heartbeat setiap 60 detik
    • info – mengirim informasi sistem
    • cmd – menjalankan perintah shell
    • powershell – menjalankan perintah PowerShell
    • run – menjalankan perintah di background
    • screenshot – mengambil tangkapan layar
    • download – mengambil file dari sistem
    • upload – mengunggah file ke sistem
    • stop – menghentikan koneksi

    Untuk memastikan perintah tetap dapat dijalankan pada server yang memiliki konfigurasi keamanan ketat, RAT akan mencoba beberapa fungsi PHP seperti popen, proc_open, exec, shell_exec, system, dan passthru.

    Risiko Backdoor Persisten

    Walaupun server C2 saat ini tidak merespons, malware tersebut akan mencoba terhubung kembali setiap 15 detik, sehingga tetap menjadi risiko keamanan bagi sistem yang terinfeksi.

    Para ahli keamanan menyarankan agar pengguna yang pernah memasang paket ini menganggap sistem sudah terkompromi, segera menghapus paket tersebut, mengganti kredensial penting seperti password database dan API key, serta memeriksa trafik jaringan keluar menuju server C2.

    Paket Bersih Digunakan untuk Membangun Kepercayaan

    Peneliti juga menemukan bahwa pengembang yang sama merilis beberapa paket lain yang tampak bersih, seperti:

    • nhattuanbl/lara-media
    • nhattuanbl/snooze
    • nhattuanbl/syslog

    Paket tersebut kemungkinan dibuat untuk membangun kepercayaan developer agar lebih mudah menginstal paket berbahaya.

    Karena RAT aktif saat aplikasi Laravel dijalankan atau saat autoload class, malware berjalan dalam proses yang sama dengan aplikasi web. Hal ini memungkinkan penyerang mengakses database, file aplikasi, API key, dan variabel environment seperti .env.

    Developer disarankan untuk selalu memeriksa dependensi Composer dan melakukan audit keamanan secara rutin untuk mencegah serangan supply chain pada aplikasi Laravel.

    Source: https://thehackernews.com/2026/03/fake-laravel-packages-on-packagist.html