Новости Невидимый враг: троян SeroXen RAT проник в репозиторий NuGet

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Почему лишь внимательность может спасти разработчиков от вездесущих хакеров?


xpeuw4joohsrkq1a9yi0p75qb8pv21pf.jpg


В пакетном менеджере NuGet для фреймворка .NET был обнаружен вредоносный пакет, который распространяет троянский вирус под названием SeroXen RAT.

Пакет с названием «Pathoschild.Stardew.Mod.Build.Config», опубликованный пользователем «Disti», является именным искажением настоящего пакета « Для просмотра ссылки Войди или Зарегистрируйся » — разница буквально в паре точек. О выявлении угрозы Для просмотра ссылки Войди или Зарегистрируйся компания по безопасности программного обеспечения Phylum .

Хотя настоящий пакет был загружен около 79 000 раз, вредоносная версия сумела обогнать его, нарастив свой счётчик загрузок свыше 100 000 скачиваний после публикации пакета 6 октября 2023 года.

Всего автор вредоносного пакета опубликовал целых шесть пакетов с общим числом загрузок более 2,1 млн. Четыре из них маскируются под библиотеки для криптосервисов, таких как Kraken, KuCoin, Solana и Monero, но также предназначены для развёртывания SeroXen RAT.

Цепочка атаки инициируется во время установки пакета с помощью скрипта tools/init.ps1, который предназначен для максимально скрытного выполнения кода.

«Несмотря на то, что он устарел, скрипт init.ps1 по–прежнему поддерживается Visual Studio и будет запускаться без каких-либо предупреждений при установке пакета NuGet. Тем временем, внутри файла .ps1 злоумышленник может писать произвольные команды», — Для просмотра ссылки Войди или Зарегистрируйся представители компании JFrog в марте этого года, когда столкнулись с похожим принципом развёртывания вредоносного ПО.

SeroXen RAT — это вредоносное ПО, которое продаётся на киберпреступных форумах за 60 долларов. Этот безфайловый троянец удалённого доступа сочетает в себе функции открытого ПО Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся и инструмента командной строки Для просмотра ссылки Войди или Зарегистрируйся .

Phylum отметила, что обнаружение SeroXen RAT в пакетах NuGet подчёркивает тенденцию, что злоумышленники продолжают использовать программное обеспечение с открытым исходным кодом во вредоносных целях.

Примечательно, что буквально за пару дней до обнаружения угрозы в NuGet специалисты Phylum Для просмотра ссылки Войди или Зарегистрируйся семь вредоносных пакетов в репозитории PyPI , которые имитируют законные предложения от облачных провайдеров, таких как Aliyun, AWS и Tencent Cloud, чтобы тайно передавать учётные данные на скрытый удалённый URL злоумышленников.

Исследователи Checkmarx Для просмотра ссылки Войди или Зарегистрируйся дополнительными деталями той же кампании, сообщив, что она также нацелена на Telegram через обманный пакет telethon2. Большинство загрузок поддельных библиотек произошло из США, за которыми следуют Китай, Сингапур, Гонконг, Россия и Франция.

Ранее в этом месяце Checkmarx также Для просмотра ссылки Войди или Зарегистрируйся , нацеленную на PyPI, с целью внедрения в цепочку поставок программного обеспечения 271 вредоносного пакета Python для кражи чувствительных данных и криптовалюты.
 
Источник новости
www.securitylab.ru

Похожие темы