聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
在.NET 框架上 NuGet 包管理器的恶意包在传播名为 “SeroXen RAT” 的远程访问木马。
软件供应链公司 Phylum 发布报告称,该包的名称是 Pathoschild.Stardew.Mod.Build.Config,由名为 “Disti” 的用户发布,它是对合法包 Pathoschild.Stardew.ModBuildConfig 的typosquatting。该合法包迄今为止的下载次数近7.9万次,而在2023年10月6日发布的恶意变体的下载次数已经超过10万次。
这名任命还发布了其它6个恶意包,吸引的总下载量不低于210万次,其中4个包伪装为多种加密服务的苦,如 Kraken、KuCoin、Solana和Monero,而它们旨在部署 SeroXen RAT。
该攻击链在安装包过程中通过 tools/init.ps1 脚本进行启动,这些脚本旨在无需触发任何提醒的情况下实现代码执行。Jrog 公司研究人员提到,该行为用于检索下一阶段的恶意软件。研究人员当时表示,“尽管已被启用,但 init.ps1 脚本仍然通过 Visual Studio 的检测,并且在安装 NuGet 包时,在没有任何提醒的情况下运行。在 .ps1 文件中,攻击者可编写任意命令。”
由 Phylum 分析的程序包中,PowerShell 脚本用于从远程服务器下载名为 “x.bin” 的文件,而实际上它是被严重混淆的 Windows Batch 脚本,而该脚本的作用是构建并执行另外一个 PowerShell 脚本,最终部署 SeroXen RAT。
现成可用恶意软件 SeroXen RAT 的买断费用是60美元,因此可由网络犯罪分子访问。它是一款无文件RAT,结合了 Quasar RAT、r77 rookit 以及 Windows 命令行工具 NirCmd。
Phylum 公司表示,“NuGet 包中的 SeroXen RAT说明了,攻击者利用开源生态系统和其用户的方式。”此前,该公司在 PyPI 仓库中检测到7个恶意包,模拟云服务提供商如AWS 等的合法服务,将凭据传递给被混淆的远程URL。
这些包的名称如下:
tencent-cloud-python-sdk
python-alibabacloud-sdk-core
alibabacloud-oss2
python-alibabacloud-tea-openapi
aws-enumerate-iam
enumerate-iam-aws
alisdkcore
该公司提到,“在攻击活动中,该攻击者正在利用开发人员的信任,盗取已有的代码库并插入旨在提取敏感云凭据的一些恶意代码。攻击者的狡猾之处在于其保留这些包原始功能的策略,尝试躲避检测。该攻击虽然简单但有效。”
Checkmarx 公司也分享了一些攻击详情,表示攻击旨在通过名为 “telethon2” 的欺骗包攻击 Telegram,从而模仿与 Telegram API 交互的 Python 库。这些虚假包的大部分下载源自美国、中国、新加坡、中国香港、俄罗斯和法国。
Checkmarx 公司提到,“这些包中的恶意代码并不执行自动化执行,而是有战略性地隐藏在函数中,只有当这些函数被调用时才会触发。攻击者利用 Typosquatting 和 StarJacking 技术诱骗开发人员使用恶意包。”
本月早些时候,Checkmarx 公司进一步披露了一起旨在通过271个Python恶意包发动供应链攻击的复杂攻击,目的是从Windows 主机窃取敏感数据和密币。这些恶意包在被下架之前的下载次数已达7.5万次左右。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
第三方依赖关系的风险:利用数十个易受攻击的 NuGet包瞄准 .NET 平台
Python 开发人员提醒:PyPI 木马包假冒流行库发动攻击
原文链接
https://thehackernews.com/2023/10/malicious-nuget-package-targeting-net.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
60
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
