Packagistで悪性PHPパッケージ発見、複数OSを標的

悪性PHPパッケージによるクロスプラットフォームRATの脅威

サイバーセキュリティ研究者は、PHPパッケージ管理サービス「Packagist」で公開されていた悪意のあるパッケージを確認した。これらのパッケージはLaravel関連のユーティリティのように見えるが、実際にはWindows、macOS、Linuxで動作するクロスプラットフォーム型のリモートアクセス型トロイの木馬（RAT）を配布する目的で作成されていた。

問題のパッケージは「nhattuanbl/lara-helper」と「nhattuanbl/simple-queue」で、難読化されたPHPコードを通じてC2サーバー（helper.leuleu.net:2096）と通信する仕組みを持つ。これにより、システム情報の収集、シェルコマンドの実行、スクリーンショット取得、ファイルのアップロード／ダウンロードなどの操作が可能になるとされる。

また「nhattuanbl/lara-swagger」は依存関係として「nhattuanbl/lara-helper」を含んでおり、開発者が通常のパッケージとして導入した場合でも、結果としてRATが環境内に導入される可能性がある。攻撃者は信頼できるパッケージを装うことで、開発者の環境に不正アクセスすることを狙っていたとみられる。

対策としては、第三者パッケージの導入前に信頼性を十分に確認することが重要とされる。すでに該当パッケージを導入している場合は削除するとともに、関連する資格情報の変更やネットワーク通信の監査を実施することが推奨される。

今回の事例は、オープンソースエコシステムにおけるソフトウェアサプライチェーンリスクを改めて示すものとなった。開発者や組織には、依存パッケージの管理と継続的な監視体制の強化が求められている。