Pacotes Maliciosos do Packagist Disfarçados de Utilitários Laravel Distribuem RAT Criptografado

Três pacotes Packagist publicados pelo ator de ameaça nhattuanbl estão entregando um PHP RAT (Remote Access Trojan) totalmente funcional através do arquivo src/helper.php. O malware é criptografado com AES-128-CTR e se comunica com um servidor C2 (Command and Control) em helper[.]leuleu[.]net:2096. Ele oferece recursos como execução de shell remoto, upload e download de arquivos, além de captura de tela em sistemas Windows, macOS e Linux .

Um terceiro pacote, lara-swagger, não contém código malicioso diretamente, mas incorpora o RAT como uma dependência Composer fixa na versão dev-master. Isso permite que o operador atualize a payload a qualquer momento sem modificar o pacote de aparência legítima. Equipes Laravel devem auditar as dependências transitivas do Composer, tratar restrições dev-master como de alto risco em produção, rotacionar todos os segredos acessíveis dos ambientes de aplicação afetados e bloquear o tráfego de saída para o host C2.