Фатени малициозни пакети NuGet кои дистрибуираат малициозен софтвер SeroXen RAT

Истражувачите за сајбер безбедност открија нов сет на малициозни пакети објавени на менаџерот на пакети NuGet користејќи помалку познат метод за распоредување на малициозен софтвер.

Фирмата за безбедност на синџирот на снабдување софтвер ReversingLabs ја опиша кампањата како координирана и тековна од 1 август 2023 година, истовремено поврзувајќи ја со мноштво непријателски пакети NuGet кои беа забележани како испорачуваат тројанец со далечински пристап наречен SeroXen RAT.

„Акторите за закана зад него се упорни во нивната желба да всадат малициозен софтвер во складиштето на NuGet и постојано да објавуваат нови малициозни пакети“, рече Карло Занки, обратен инженер во ReversingLabs, во извештај споделен со The Hacker News.

Имињата на некои од пакетите се подолу

• Pathoschild.Stardew.Mod.Build.Config
• KucoinExchange.Net
• Kraken.Exchange
• DiscordsRpc
• SolanaWallet
• Monero
• Modern.Winform.UI
• MinecraftPocket.Server
• IAmRoot
• ZendeskApi.Client.V2
• Betalgo.Open.AI
• Forge.Open.AI
• Pathoschild.Stardew.Mod.BuildConfig
• CData.NetSuite.Net.Framework
• CData.Salesforce.Net.Framework
• CData.Snowflake.API

Овие пакети, кои опфаќаат неколку верзии, имитираат популарни пакети и ја искористуваат функцијата за интеграција на MSBuild на NuGet со цел да имплантираат злонамерен код на нивните жртви, функција наречена инлајн задачи за да се постигне извршување на кодот.

„Ова е првиот познат пример на малициозен софтвер објавен во складиштето NuGet кој ја искористува оваа функција за внатрешни задачи за извршување на малициозен софтвер“, рече Занки.

Сега отстранетите пакети покажуваат слични карактеристики со тоа што актерите за закана зад операцијата се обидоа да го сокријат злонамерниот код со користење на празни места и јазичиња за да го преместат надвор од стандардната ширина на екранот.

Како што претходно беше обелоденето од Phylum, пакетите имаат и вештачки зголемени превземања за да изгледаат полегитимни. Крајната цел на пакетите за мамки е да дејствуваат како канал за преземање на .NET носивост од втора фаза хостирана на складиштето на GitHub што се фрла.

„Актерот за закана зад оваа кампања е внимателен и внимава на деталите и е решен да ја одржи оваа злонамерна кампања жива и активна“, рече Занки.

Извор:(thehackernews.com)