Une nouvelle menace plane sur l’écosystème des développeurs PHP et plus spécifiquement ceux utilisant Laravel. Des packages malveillants, camouflés en outils Laravel légitimes, ont été détectés sur Packagist, la principale plateforme de distribution de bibliothèques PHP.
Ces faux packages dissimulent un RAT capable d’infecter les systèmes Windows, macOS et Linux. Leur présence souligne les failles actuelles dans la cybersécurité des environnements de développement, mettant en lumière les risques liés à la gestion des dépendances logicielles. Présentés comme des bibliothèques utiles pour les développeurs Laravel, ces paquets installent en réalité une porte dérobée offrant aux attaquants un accès à distance aux machines compromises. Une menace silencieuse mais redoutable qui illustre l’importance cruciale de vérifier l’origine et l’intégrité des dépendances open source avant toute installation.
Les mécanismes d’infection par de faux packages Laravel
Trois packages identifiés, nhattuanbl/lara-helper, nhattuanbl/simple-queue et nhattuanbl/lara-swagger, ont été soupçonnés de propager un RAT. Ce dernier utilise des techniques avancées d’obfuscation, rendant son analyse statique difficile.
Le package nhattuanbl/lara-swagger ne contient pas directement le code malveillant, mais installe automatiquement nhattuanbl/lara-helper en dépendance, lequel abrite le malware. Une fois le code chargé, il établit une connexion vers un serveur de commande et contrôle (C2), relayant des informations système tout en attendant des commandes malveillantes.
Fonctionnalités et dangers du RAT multiplateforme
Ce logiciel malveillant est programmé pour fonctionner sans difficulté sur Windows, macOS et Linux. Il communique via TCP avec le serveur C2, en utilisant la fonction PHP stream_socket_client().
Parmi les commandes supportées, il y a :
- l’exécution de scripts shell,
- la capture d’écran,
- le transfert de fichiers
- et la collecte d’informations sensibles (les clés API, les identifiants de base de données ou le contenu des fichiers .env)
Le RAT est activé à chaque démarrage de l’application Laravel, s’exécutant avec les mêmes permissions, ce qui expose les données et la plateforme à des risques majeurs.
Pratiques recommandées pour contrer cette menace sur Packagist
Les utilisateurs ayant installé ces packages sont encouragés à considérer leur système comme compromis. Il faut impérativement supprimer ces dépendances, renouveler toutes les clefs et secrets d’accès liés à l’application. Il est également recommandé d’examiner minutieusement le trafic réseau sortant pour détecter des communications suspectes vers des serveurs comme celui hébergé à helper.leuleu.net sur le port 2096.
Un suivi rigoureux avec des outils spécialisés est nécessaire pour prévenir toute intrusion future, tout en sensibilisant la communauté à la dangerosité des faux packages dans la chaîne d’approvisionnement logiciel. Plus d’informations sur les enjeux actuels de la cybersécurité en 2026 illustrent l’importance de ces précautions.
