{"id":141,"date":"2026-03-04T11:17:54","date_gmt":"2026-03-04T11:17:54","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/04\/paquetes-falsos-de-laravel-en-packagist-implementan-rat-en-windows-macos-y-linux-cyberdefensa-mx\/"},"modified":"2026-03-04T11:17:54","modified_gmt":"2026-03-04T11:17:54","slug":"paquetes-falsos-de-laravel-en-packagist-implementan-rat-en-windows-macos-y-linux-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/04\/paquetes-falsos-de-laravel-en-packagist-implementan-rat-en-windows-macos-y-linux-cyberdefensa-mx\/","title":{"rendered":"Paquetes falsos de Laravel en Packagist implementan RAT en Windows, macOS y Linux \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Los investigadores de ciberseguridad han <a href=\"https:\/\/socket.dev\/blog\/malicious-packagist-packages-disguised-as-laravel-utilities\" rel=\"noopener\" target=\"_blank\">marcado<\/a> Paquetes PHP maliciosos de Packagist disfrazados de utilidades de Laravel que act\u00faan como conducto para un troyano de acceso remoto (RAT) multiplataforma que funciona en sistemas Windows, macOS y Linux.<\/p>\n<p>Los nombres de los <a href=\"https:\/\/packagist.org\/users\/nhattuanbl\/\" rel=\"noopener\" target=\"_blank\">paquetes<\/a> se enumeran a continuaci\u00f3n \u2013<\/p>\n<ul>\n<li>nhattuanbl\/lara-helper (37 Descargas)<\/li>\n<li>nhattuanbl\/simple-queue (29 Descargas)<\/li>\n<li>nhattuanbl\/lara-swagger (49 Descargas)<\/li>\n<\/ul>\n<p>Seg\u00fan Socket, el paquete \u00abnhattuanbl\/lara-swagger\u00bb no incorpora directamente c\u00f3digo malicioso, sino que enumera \u00abnhattuanbl\/lara-helper\u00bb como un <a href=\"https:\/\/getcomposer.org\/doc\/00-intro.md\" rel=\"noopener\" target=\"_blank\">Dependencia del compositor<\/a>provocando que instale el RAT. Los paquetes todav\u00eda est\u00e1n disponibles para descargar desde el registro de paquetes PHP.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/not-fast-enough-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhlXM830ruQd2xT6M7JNeNRjaFa1onD12WjSCHihTFMTzbyfT9h-irPmXy_h3E1HGSs6sdv7FTmnyNVTM5kmSb7BuUtZe8gKoTQt99P1sSzRcqqXpOJP6eoAOhR3DGb6qHx9kOZ_HBZUMmVnsnd0DM7QfUp81bgzTvvgLww6oqB-EhnDfWXH5pWCYhAsyLs\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Se ha descubierto que tanto lara-helper como simple-queue contienen un archivo PHP llamado \u00absrc\/helper.php\u00bb, que emplea una serie de trucos para complicar el an\u00e1lisis est\u00e1tico mediante el uso de t\u00e9cnicas como la ofuscaci\u00f3n del flujo de control, la codificaci\u00f3n de nombres de dominio, nombres de comandos y rutas de archivos, e identificadores aleatorios para nombres de variables y funciones. <\/p>\n<p>\u00abUna vez cargada, la carga \u00fatil se conecta a un servidor C2 en helper.leuleu[.]net:2096, env\u00eda datos de reconocimiento del sistema y espera comandos, d\u00e1ndole al operador acceso remoto completo al host\u00bb, dijo el investigador de seguridad Kush Pandya.<\/p>\n<p>Esto incluye el env\u00edo de informaci\u00f3n del sistema y el an\u00e1lisis de comandos recibidos del servidor C2 para su posterior ejecuci\u00f3n en el host comprometido. La comunicaci\u00f3n se produce a trav\u00e9s de TCP utilizando PHP. <a href=\"https:\/\/www.php.net\/manual\/en\/function.stream-socket-client.php\" rel=\"noopener\" target=\"_blank\">flujo_socket_client()<\/a>. La lista de comandos admitidos se encuentra a continuaci\u00f3n:<\/p>\n<ul>\n<li><strong>silbido<\/strong>para enviar un latido autom\u00e1ticamente cada 60 segundos<\/li>\n<li><strong>informaci\u00f3n<\/strong>para enviar datos de reconocimiento del sistema al servidor C2<\/li>\n<li><strong>cmd<\/strong>para ejecutar un comando de shell<\/li>\n<li><strong>powershell<\/strong>para ejecutar un comando de PowerShell<\/li>\n<li><strong>correr<\/strong>para ejecutar un comando de shell en segundo plano<\/li>\n<li><strong>captura de pantalla<\/strong>para capturar la pantalla usando imagegrabscreen()<\/li>\n<li><strong>descargar<\/strong>para leer un archivo del disco<\/li>\n<li><strong>subir<\/strong>a un archivo en el disco y otorgarle permisos de lectura, escritura y ejecuci\u00f3n a todos los usuarios<\/li>\n<li><strong>detener<\/strong>al enchufe y salir<\/li>\n<\/ul>\n<p>\u00abPara la ejecuci\u00f3n del shell, RAT prueba las funciones deshabilitadas y elige el primer m\u00e9todo disponible entre: popen, proc_open, exec, shell_exec, system, passthru\u00bb, dijo Pandya. \u00abEsto lo hace resistente a las configuraciones comunes de refuerzo de PHP\u00bb.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/xm-cyber-comm-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjeddeABvLw_c_ToOCMJPgQbMsApaTV3NUf6HM6UvXJMdWuMwDjqX3SsAJ3AFa2tLmqtvPxYwtaaAxhEbjMflJYYBOEtruJgSbLmu5axVBfkb-epbRoJmYPS79p3QMYea_Z3OfeaKYa4ocXewrWsdMRRSUW7UE5dNMGns2eNUwSelaseMB4sblfZnEgxWTH\/s728-e100\/risk-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Si bien el servidor C2 actualmente no responde, el RAT est\u00e1 configurado de manera que reintenta la conexi\u00f3n cada 15 segundos en un bucle persistente, lo que lo convierte en un riesgo para la seguridad. Se recomienda a los usuarios que hayan instalado los paquetes que asuman un compromiso, los eliminen, roten todos los secretos accesibles desde el entorno de la aplicaci\u00f3n y auditen el tr\u00e1fico saliente al servidor C2. <\/p>\n<p>Adem\u00e1s de los tres paquetes antes mencionados, el actor de amenazas detr\u00e1s de la operaci\u00f3n ha publicado otras tres bibliotecas (\u00abnhattuanbl\/lara-media\u00bb, \u00abnhattuanbl\/snooze\u00bb y \u00abnhattuanbl\/syslog\u00bb) que est\u00e1n limpias, probablemente en un esfuerzo por generar credibilidad y enga\u00f1ar a los usuarios para que instalen los maliciosos.<\/p>\n<p>\u00abCualquier aplicaci\u00f3n Laravel que instale lara-helper o simple-queue ejecuta una RAT persistente. El actor de la amenaza tiene acceso completo al shell remoto, puede leer y escribir archivos arbitrarios y recibe un perfil de sistema continuo para cada host conectado\u00bb, dijo Socket.<\/p>\n<p>\u00abDebido a que la activaci\u00f3n ocurre en el inicio de la aplicaci\u00f3n (a trav\u00e9s del proveedor de servicios) o en las cargas autom\u00e1ticas de clases (a trav\u00e9s de una cola simple), el RAT se ejecuta en el mismo proceso que la aplicaci\u00f3n web con los mismos permisos del sistema de archivos y variables de entorno, incluidas las credenciales de la base de datos, las claves API y los contenidos .env\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores de ciberseguridad han marcado Paquetes PHP maliciosos de Packagist disfrazados de utilidades de Laravel que act\u00faan como conducto para un troyano de acceso remoto (RAT) multiplataforma que funciona en sistemas Windows, macOS y Linux. Los nombres de los paquetes se enumeran a continuaci\u00f3n \u2013 nhattuanbl\/lara-helper (37 Descargas) nhattuanbl\/simple-queue (29 Descargas) nhattuanbl\/lara-swagger (49 Descargas) [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[24,57,420,418,15,422,419,276,209,421],"class_list":["post-141","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-cyberdefensa-mx","tag-falsos","tag-implementan","tag-laravel","tag-linux","tag-macos","tag-packagist","tag-paquetes","tag-rat","tag-windows"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/141","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=141"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/141\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=141"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=141"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=141"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}