Paket Laravel Palsu di Packagist Sebar RAT Berbahaya untuk Windows, macOS, dan Linux
Para peneliti keamanan siber baru-baru ini mengungkap keberadaan paket PHP berbahaya yang menyamar sebagai utilitas Laravel di Packagist. Paket-paket ini ternyata menjadi pintu masuk bagi sebuah remote access trojan (RAT) lintas platform yang mampu menyerang sistem operasi Windows, macOS, dan Linux.
Paket Laravel Palsu yang Teridentifikasi
Beberapa paket dengan nama berikut ditemukan mengandung malware:
- nhattuanbl/lara-helper (37 kali unduhan)
- nhattuanbl/simple-queue (29 kali unduhan)
- nhattuanbl/lara-swagger (49 kali unduhan)
Menurut laporan dari Socket, paket "nhattuanbl/lara-swagger" sebenarnya tidak langsung menyisipkan kode berbahaya, melainkan menjadikan "nhattuanbl/lara-helper" sebagai dependensi Composer yang secara otomatis menginstal RAT tersebut. Sayangnya, ketiga paket ini masih tersedia dan dapat diunduh dari registri PHP Packagist.
Teknik Penyembunyian dan Modus Operandi RAT
Baik "lara-helper" maupun "simple-queue" memiliki sebuah berkas PHP bernama src/helper.php yang menggunakan berbagai trik untuk menghambat analisis statis. Teknik yang dipakai meliputi:
- Obfuskasi alur kontrol (control flow obfuscation)
- Encoding nama domain, perintah, dan jalur berkas
- Pengacakan nama variabel dan fungsi
"Setelah diaktifkan, payload akan terhubung ke server C2 di helper.leuleu[.]net:2096, mengirim data pengintaian sistem, dan menunggu perintah — memberikan operator akses penuh jarak jauh ke host," ujar peneliti keamanan Kush Pandya.
Komunikasi dengan server C2 dilakukan menggunakan protokol TCP melalui fungsi PHP stream_socket_client(). Perintah yang didukung RAT ini antara lain:
- ping: mengirim heartbeat otomatis setiap 60 detik
- info: mengirim data pengintaian sistem ke server C2
- cmd: menjalankan perintah shell
- powershell: menjalankan perintah PowerShell
- run: menjalankan perintah shell di background
- screenshot: menangkap gambar layar melalui
imagegrabscreen() - download: membaca berkas dari disk
- upload: mengunggah berkas ke disk dengan izin baca, tulis, dan eksekusi untuk semua pengguna
- stop: memutus koneksi socket dan keluar
Untuk eksekusi perintah shell, RAT ini akan memeriksa fungsi PHP yang dinonaktifkan (disable_functions) dan memilih metode yang tersedia dari: popen, proc_open, exec, shell_exec, system, dan passthru. Ini membuatnya tahan terhadap konfigurasi hardening PHP yang umum diterapkan.
Risiko dan Saran untuk Pengguna
Saat ini, server C2 tidak responsif, namun RAT terus mencoba menghubungi server setiap 15 detik secara berulang, sehingga tetap menjadi ancaman keamanan serius. Pengguna yang sudah memasang paket-paket tersebut disarankan untuk:
- Berasumsi bahwa sistem telah terkompromi
- Menghapus paket berbahaya dari proyek mereka
- Melakukan rotasi semua kredensial dan rahasia yang bisa diakses aplikasi
- Melakukan audit lalu lintas keluar untuk mendeteksi komunikasi dengan server C2
Selain tiga paket berbahaya tersebut, aktor ancaman juga menerbitkan tiga pustaka lain — "nhattuanbl/lara-media," "nhattuanbl/snooze," dan "nhattuanbl/syslog" — yang bersih dari malware. Strategi ini diduga untuk membangun kepercayaan dan memancing pengguna agar menginstal paket berbahaya.
Implikasi Serangan Terhadap Aplikasi Laravel
"Setiap aplikasi Laravel yang menginstal lara-helper atau simple-queue menjalankan RAT yang persisten. Pelaku ancaman memiliki akses shell jarak jauh penuh, dapat membaca dan menulis berkas sesuka hati, serta menerima profil sistem secara terus-menerus dari setiap host yang terhubung," jelas Socket.
Aktivasi RAT terjadi pada saat aplikasi Laravel di-boot melalui service provider atau autoload kelas (terutama pada simple-queue). Hal ini menyebabkan RAT berjalan dalam proses yang sama dengan aplikasi web, menggunakan izin sistem berkas dan variabel lingkungan yang sama, termasuk kredensial database, kunci API, dan isi file .env.
Analisis Redaksi
Menurut pandangan redaksi, insiden ini memperlihatkan bagaimana serangan supply chain pada ekosistem open source semakin canggih dan berbahaya. Pengembang Laravel dan PHP harus ekstra waspada terhadap paket pihak ketiga yang mereka gunakan, terutama yang tidak memiliki reputasi kuat atau memiliki dependensi mencurigakan.
Fakta bahwa RAT ini dapat berjalan lintas platform dan mengeksekusi perintah shell serta mengambil data sensitif membuatnya menjadi ancaman serius bagi keamanan aplikasi dan data perusahaan. Selain itu, metode penyembunyian yang kompleks menunjukkan bahwa pelaku ancaman semakin piawai menghindari deteksi konvensional.
Ke depannya, komunitas pengembang dan penyedia registri paket harus meningkatkan mekanisme verifikasi dan audit keamanan paket untuk mencegah kejadian serupa. Pengguna juga disarankan menerapkan kebijakan keamanan yang ketat, seperti pembatasan izin dan pemantauan trafik jaringan secara kontinu untuk mendeteksi aktivitas mencurigakan.
Kesimpulan
Kasus paket Laravel palsu di Packagist ini menjadi pengingat pentingnya kewaspadaan dalam menggunakan pustaka open source. Serangan supply chain seperti ini dapat menimbulkan kerugian besar jika tidak segera ditangani dengan benar. Pastikan untuk selalu memeriksa reputasi paket, menghapus paket yang dicurigai, dan melakukan audit keamanan secara rutin.
Terus ikuti perkembangan keamanan aplikasi dan ancaman siber terbaru agar Anda tidak menjadi korban berikutnya.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
