CEVIU Logo
Voltar

Pacotes Maliciosos do Packagist Disfarçados de Utilitários Laravel Distribuem RAT Criptografado

Aprofundamento CEVIU

Aprofundamento

O RAT distribuído pelos pacotes nhattuanbl/lara-helper, nhattuanbl/simple-queue e nhattuanbl/lara-swagger não é um payload genérico: ele opera no mesmo processo da aplicação Laravel, com acesso direto a $_ENV, arquivos .env, credenciais de banco de dados e chaves de API. A criptografia AES-128-CTR usa uma chave fixa codificada (esCAmxUoJkIjTV0n) e o C2 helper[.]leuleu[.]net:2096 está offline desde março de 2026, mas o malware continua tentando reconexão a cada 15 segundos, sem timeout. Isso significa que sistemas comprometidos ainda estão ativos, esperando instruções, mesmo sem comunicação visível. O arquivo de bloqueio wvIjjnDMRaomchPprDBzzVSpzh61RCar.lock em sys_get_temp_dir evita múltiplas instâncias, mas também dificulta a detecção por ferramentas que buscam processos óbvios: o RAT se aninha silenciosamente no ciclo de vida da aplicação.

A técnica de dependência transitiva usada em lara-swagger é particularmente perigosa: o pacote parece legítimo, mas carrega o RAT como dependência dev-master, ou seja, o atacante pode atualizar o payload sem tocar no pacote principal. Isso escapa de scanners que só verificam código fonte local, pois o código malicioso vem de fora, via Composer. Não é um caso de 'código sujo', mas de engenharia social técnica: confiança construída com três pacotes reais entre 2024 e 2025 foi usada para injetar o RAT em 2026.

Por que isso importa

Este ataque não explora falha no Laravel nem no Composer, explora comportamentos comuns de desenvolvedores: uso de dev-master em produção, ausência de auditoria de dependências transitivas e confiança cega em pacotes com boa reputação aparente. Como o RAT roda no contexto do processo web, ele acessa tudo o que a aplicação acessa, incluindo segredos carregados por Dotenv, conexões de banco e tokens de API. Um único composer require nhattuanbl/lara-helper transforma um servidor Laravel em uma estação de comando remoto. E isso acontece em escala: o Packagist registrou mais de 12 mil instalações desses pacotes antes da remoção, muitas delas em ambientes corporativos sem monitoramento de saída de rede ou análise de comportamento de processos PHP.

Perguntas frequentes

Como identificar se meu projeto Laravel foi afetado?

Execute composer show --tree | grep nhattuanbl para listar dependências diretas e transitivas. Verifique se há referências a nhattuanbl/lara-helper, simple-queue ou lara-swagger. Busque manualmente por src/helper.php nos diretórios vendor/ e por arquivos com nome wvIjjnDMRaomchPprDBzzVSpzh61RCar.lock em /tmp ou sys_get_temp_dir(). Se encontrar, isole imediatamente o ambiente.

Por que o <code>dev-master</code> é tão perigoso em produção?

Versões dev-master não têm controle de versão fixo: qualquer alteração no repositório do mantenedor, inclusive injeção de código malicioso, é baixada automaticamente na próxima execução de composer update. No caso do lara-swagger, o RAT foi injetado exatamente assim, sem mudar o código do pacote principal. É como dar uma chave mestra ao atacante.

O que fazer com os segredos já expostos?

Rotacione todos os segredos acessíveis pelo ambiente: chaves de API, senhas de banco de dados, tokens de acesso a cloud (AWS, GCP, Azure), chaves SSH e tokens de CI/CD. Não basta remover o pacote, o RAT já teve acesso completo ao processo. Se o sistema rodava em modo debug ou com APP_DEBUG=true, também revise logs, variáveis de sessão e caches que possam conter dados sensíveis.

O Composer 2.10 vai resolver esse problema?

Não resolve, mas reduz riscos. O novo composer audit alerta sobre pacotes sinalizados e bloqueia update automaticamente, mas só funciona se o Packagist já tiver marcado o pacote como malicioso. Ele não detecta RATs novos, ofuscados ou entregues via dependência transitiva. A proteção real exige auditoria contínua de árvore de dependências, bloqueio de tráfego C2 no firewall e sandboxing de pacotes não críticos.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
09 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser