網(wǎng)絡安全研究人員發(fā)現(xiàn)了一組新的惡意軟件包，這些軟件包使用一種鮮為人知的惡意軟件部署方法發(fā)布到 NuGet 軟件包管理器上。

軟件供應鏈安全公司 ReversingLabs 稱，該活動自 2023 年 8 月 1 日以來一直在持續(xù)進行，同時將其與大量流氓 NuGet 軟件包聯(lián)系起來，這些軟件包被觀察到正在傳播一種名為 SeroXen RAT 的遠程訪問木馬。

ReversingLabs 的反向工程師 Karlo Zanki 在一份報告中說：幕后的威脅行為者執(zhí)著地希望將惡意軟件植入 NuGet 存儲庫，并不斷發(fā)布新的惡意軟件包。

部分軟件包的名稱如下：

• Pathoschild.Stardew.Mod.Build.Config
• KucoinExchange.Net
• Kraken.Exchange
• DiscordsRpc
• SolanaWallet
• Monero
• Modern.Winform.UI
• MinecraftPocket.Server
• IAmRoot
• ZendeskApi.Client.V2
• Betalgo.Open.AI
• Forge.Open.AI
• Pathoschild.Stardew.Mod.BuildConfig
• CData.NetSuite.Net.Framework
• CData.Salesforce.Net.Framework
• CData.Snowflake.API

這些軟件包跨越多個版本，模仿流行軟件包并利用 NuGet 的 MSBuild 集成功能植入惡意代碼，以實現(xiàn)代碼執(zhí)行。

惡意 NuGet 軟件包

Zanki說：這是第一個已知的利用內聯(lián)任務功能在NuGet軟件庫中發(fā)布惡意軟件并執(zhí)行的例子。

現(xiàn)在被刪除的軟件包表現(xiàn)出了類似的特征，即幕后的威脅者試圖利用空格和制表符來隱藏惡意代碼，使其脫離默認屏幕寬度的視野。

正如 Phylum 此前披露的那樣，這些軟件包還人為刷大了下載次數(shù)，使其看起來更合法。Zanki 說：這一活動背后的威脅行為者非常謹慎，注重細節(jié)，并決心讓這一惡意活動保持活躍。

參考鏈接：https://thehackernews.com/2023/10/malicious-nuget-packages-caught.html