在.NET Framework的NuGet軟件包管理器上發(fā)現(xiàn)了一個惡意軟件包，它可發(fā)送名為SeroXen RAT的遠(yuǎn)程訪問木馬。

軟件供應(yīng)鏈安全公司Phylum在今天的一份報告中說，這個名為Pathoschild.Stardew.Mod.Build.Config的軟件包是一個名為Pathoschild.Stardew.ModBuildConfig的合法軟件包的篡改版本。

據(jù)了解，真實(shí)軟件包迄今已獲得近 79000 次下載，但惡意變種在 2023 年 10 月 6 日發(fā)布后人為虛假夸大了下載次數(shù)，讓其下載量突破了 10萬 次。

該軟件包背后的個人資料還發(fā)布了其他六個軟件包，累計吸引了不少于210萬次下載，其中四個偽裝成各種加密服務(wù)（如Kraken、KuCoin、Solana和Monero）的庫，但也是為了部署SeroXen RAT而設(shè)計的。

攻擊鏈?zhǔn)窃诎惭b軟件包時通過 tools/init.ps1 腳本啟動的，該腳本旨在不觸發(fā)任何警告的情況下實(shí)現(xiàn)代碼執(zhí)行，JFrog 曾在 2023 年 3 月披露過利用這種行為檢索下一階段惡意軟件的情況。

JFrog當(dāng)時表示：盡管init.ps1腳本已被棄用，但它仍被Visual Studio認(rèn)可，并會在安裝NuGet軟件包時不發(fā)出任何警告的情況下運(yùn)行。在 .ps1 文件中，攻擊者可以編寫任意命令。

在Phylum分析的軟件包中，PowerShell腳本被用來從遠(yuǎn)程服務(wù)器下載一個名為x.bin的文件，而這個文件實(shí)際上是一個被嚴(yán)重混淆的Windows批處理腳本，它反過來負(fù)責(zé)構(gòu)建和執(zhí)行另一個PowerShell腳本，最終部署SeroXen RAT。

SeroXen RAT是一款現(xiàn)成的惡意軟件，以60美元的終身捆綁價格出售，因此網(wǎng)絡(luò)犯罪分子很容易獲得它。它是一種無文件 RAT，結(jié)合了 Quasar RAT、r77 rootkit 和 Windows 命令行工具 NirCmd 的功能。

該公司在Python包索引（PyPI）資源庫中檢測到7個惡意軟件包，它們冒充阿里云、亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）和騰訊云等云服務(wù)提供商的合法產(chǎn)品，偷偷將憑證傳輸?shù)揭粋€混淆的遠(yuǎn)程URL。

軟件包名稱如下：

• 騰訊云--python-sdk
• python-alibabacloud-sdk-core
• alibabacloud-oss2
• python-alibabacloud-tea-openapi
• aws-enumerate-iam
• enumerate-iam-aws
• alisdkcore

Phylum指出：在這次攻擊活動中，攻擊者利用了開發(fā)人員的信任，利用現(xiàn)有的、完善的代碼庫，插入了一段惡意代碼，目的是滲出敏感的云憑證。

Phylum指出：其精妙之處在于，攻擊者采取了保留軟件包原有功能的策略，試圖掩人耳目。這種攻擊簡約而有效。

Checkmarx 還分享了同一活動的其他細(xì)節(jié)，稱其目的也是通過一個名為 telethon2 的欺騙性軟件包來攻擊 Telegram，該軟件包旨在模仿 telethon，這是一個與 Telegram API 交互的 Python 庫。

假冒庫的下載大多來自美國，其次是中國、新加坡、中國香港、俄羅斯和法國。

該公司表示：這些軟件包中的惡意代碼并不是自動執(zhí)行的，而是被策略性地隱藏在函數(shù)中，只有當(dāng)這些函數(shù)被調(diào)用時才會觸發(fā)。攻擊者利用 Typosquatting 和 StarJacking 技術(shù)引誘開發(fā)者使用他們的惡意軟件包。

本月早些時候，Checkmarx 進(jìn)一步揭露了針對 PyPI 逐步復(fù)雜的攻擊活動，即在軟件供應(yīng)鏈中埋下 271 個惡意 Python 軟件包，以便從 Windows 主機(jī)上竊取敏感數(shù)據(jù)和加密貨幣。

這些軟件包還帶有破壞系統(tǒng)防御的功能，在被下架前總共被下載了約 75000 次。

參考鏈接：https://thehackernews.com/2023/10/malicious-nuget-package-targeting-net.html