Packagist に悪意の Laravel パッケージ:Windows/macOS/Linux に RAT を展開

Fake Laravel Packages on Packagist Deploy RAT on Windows, macOS, and Linux

2026/03/04 TheHackerNews — Laravel のユーティリティを装う悪意の Packagist PHP パッケージを、サイバー・セキュリティ研究者たちが発見した。それらは、Windows/macOS/Linux で動作するクロス・プラットフォーム型 Remote Access Trojan (RAT) を展開する経路として機能するものだ。対象パッケージは以下である。

  • nhattuanbl/lara-swagger(49 ダウンロード)
  • nhattuanbl/lara-helper(37 ダウンロード)
  • nhattuanbl/simple-queue(29 ダウンロード)

Socket は、「問題の “nhattuanbl/lara-swagger” 自体には、直接的に悪性のコードは含まれていない。しかし Composer 依存関係として “nhattuanbl/lara-helper” を指定しており、その結果として RAT がインストールされる」と述べている。

現時点で、これらのパッケージは PHP パッケージ・レジストリからダウンロードが可能な状態にある。

上記の “lara-helper” と、もう一方の “simple-queue” には、”src/helper.php” という PHP ファイルが含まれる。これらのファイルは、以下の難読化技術を用いて静的解析を困難にしている。

  • 制御フローの難読化
  • ドメイン名/コマンド名/ファイルパスのエンコード
  • 変数名/関数名のランダム化

セキュリティ研究者 Kush Pandya は、「ペイロードがロードされると、 C2 サーバ “helper.leuleu[.]net:2096” への接続と、システム偵察データの送信が実行され、その後にコマンド待機状態へ入る。それにより攻撃者は、ホストへの完全なリモートアクセスを得る」と述べている。

この RAT は、システム情報を送信し、C2 から受信したコマンドを解析して実行する。そのための通信は、TCP 上での PHP の stream_socket_client() を悪用して行われる。

対応コマンド一覧は以下である。

  • ping:60 秒ごとのハートビート送信
  • info:システム偵察情報の送信
  • cmd:シェルコマンドの実行
  • powershell:PowerShell コマンドの実行
  • run:バックグラウンドでのシェルコマンドの実行
  • screenshot:imagegrabscreen() による画面キャプチャ
  • download:ディスク上のファイルの読込
  • upload:ファイル保存後に、全ユーザーに読取/書込/実行の権限を付与
  • stop:ソケットの終了

シェル実行において、この RAT は “disable_functions” を確認する。それにより、悪用が可能な関数を以下から選択する。

  • popen
  • proc_open
  • exec
  • shell_exec
  • system
  • passthru

Kush Pandya は、「一般的な PHP ハードニング設定に対して、耐性を持つ設計である。現時点で C2 サーバは応答していない。しかし、この RAT は 15 秒ごとに再接続を試行する持続ループを構成しているため、依然としてリスクが生じている」と説明している。

このパッケージを導入したユーザーにとって必要なことは、侵害を前提としての対応である。具体的には、以下を実行すべきだ。

  • パッケージの削除
  • 全シークレットのローテーション (DB 認証情報/API キー/.env 変数など)
  • C2 へのアウトバウンド通信の監査

それに加えて、攻撃者は以下の 3 つのパッケージも公開している。

  • nhattuanbl/lara-media
  • nhattuanbl/snooze
  • nhattuanbl/syslog

これらはクリーンであるため、信頼性を構築するための手段だと推測される。

Socket は、「”lara-helper” または “simple-queue” を導入した Laravel アプリケーションは、持続型の RAT を実行している。この攻撃者は、完全なリモートシェル・アクセスを持ち、任意ファイル読取/書込が可能であり、接続ホストごとに継続的なシステム・プロファイルを受信する。この RAT は、アプリケーション起動時に有効化される」と指摘している。

悪意のアクティビティは、Service Provider 経由 (lara-helper)/クラスオートロード経由 (simple-queue)で起動され、Web アプリケーションと同一プロセス内で実行される。

したがって、対象となるプロセスにおける、ファイルシステム権限/環境変数が取得されてしまうが、その中には、データベース認証情報/API キー/.env コンテンツが含まれるため、甚大な影響が生じ得る。

Packagist で発見されたのは、Laravel の便利なユーティリティを装う悪意の PHP パッケージです。信頼できるライブラリの中に、依存関係として RAT が巧妙に隠されています。この攻撃者は、無害に見えるパッケージ “nhattuanbl/lara-swagger” などを作成し、その内部で悪意の “nhattuanbl/lara-helper”/”nhattuanbl/simple-queue” を読み込ませる手法をとっています。この RAT は、PHP の stream_socket_client() を悪用して C2 サーバと通信し、OS コマンドの実行/画面キャプチャ/ファイルの窃取などを行います。特に厄介なのは、PHP のセキュリティ設定で execsystem といった関数を自動でチェックし、悪用可能なものを選択/実行するという能力を備えている点です。ご利用のチームは、ご注意ください。よろしければ、Laravel での検索結果も、ご参照ください。