Почему лишь внимательность может спасти разработчиков от вездесущих хакеров?
В пакетном менеджере NuGet для фреймворка .NET был обнаружен вредоносный пакет, который распространяет троянский вирус под названием SeroXen RAT.
Пакет с названием «Pathoschild.Stardew.Mod.Build.Config», опубликованный пользователем «Disti», является именным искажением настоящего пакета « Для просмотра ссылки Войдиили Зарегистрируйся » — разница буквально в паре точек. О выявлении угрозы Для просмотра ссылки Войди или Зарегистрируйся компания по безопасности программного обеспечения Phylum .
Хотя настоящий пакет был загружен около 79 000 раз, вредоносная версия сумела обогнать его, нарастив свой счётчик загрузок свыше 100 000 скачиваний после публикации пакета 6 октября 2023 года.
Всего автор вредоносного пакета опубликовал целых шесть пакетов с общим числом загрузок более 2,1 млн. Четыре из них маскируются под библиотеки для криптосервисов, таких как Kraken, KuCoin, Solana и Monero, но также предназначены для развёртывания SeroXen RAT.
Цепочка атаки инициируется во время установки пакета с помощью скрипта tools/init.ps1, который предназначен для максимально скрытного выполнения кода.
«Несмотря на то, что он устарел, скрипт init.ps1 по–прежнему поддерживается Visual Studio и будет запускаться без каких-либо предупреждений при установке пакета NuGet. Тем временем, внутри файла .ps1 злоумышленник может писать произвольные команды», — Для просмотра ссылки Войдиили Зарегистрируйся представители компании JFrog в марте этого года, когда столкнулись с похожим принципом развёртывания вредоносного ПО.
SeroXen RAT — это вредоносное ПО, которое продаётся на киберпреступных форумах за 60 долларов. Этот безфайловый троянец удалённого доступа сочетает в себе функции открытого ПО Для просмотра ссылки Войдиили Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся и инструмента командной строки Для просмотра ссылки Войди или Зарегистрируйся .
Phylum отметила, что обнаружение SeroXen RAT в пакетах NuGet подчёркивает тенденцию, что злоумышленники продолжают использовать программное обеспечение с открытым исходным кодом во вредоносных целях.
Примечательно, что буквально за пару дней до обнаружения угрозы в NuGet специалисты Phylum Для просмотра ссылки Войдиили Зарегистрируйся семь вредоносных пакетов в репозитории PyPI , которые имитируют законные предложения от облачных провайдеров, таких как Aliyun, AWS и Tencent Cloud, чтобы тайно передавать учётные данные на скрытый удалённый URL злоумышленников.
Исследователи Checkmarx Для просмотра ссылки Войдиили Зарегистрируйся дополнительными деталями той же кампании, сообщив, что она также нацелена на Telegram через обманный пакет telethon2. Большинство загрузок поддельных библиотек произошло из США, за которыми следуют Китай, Сингапур, Гонконг, Россия и Франция.
Ранее в этом месяце Checkmarx также Для просмотра ссылки Войдиили Зарегистрируйся , нацеленную на PyPI, с целью внедрения в цепочку поставок программного обеспечения 271 вредоносного пакета Python для кражи чувствительных данных и криптовалюты.
В пакетном менеджере NuGet для фреймворка .NET был обнаружен вредоносный пакет, который распространяет троянский вирус под названием SeroXen RAT.
Пакет с названием «Pathoschild.Stardew.Mod.Build.Config», опубликованный пользователем «Disti», является именным искажением настоящего пакета « Для просмотра ссылки Войди
Хотя настоящий пакет был загружен около 79 000 раз, вредоносная версия сумела обогнать его, нарастив свой счётчик загрузок свыше 100 000 скачиваний после публикации пакета 6 октября 2023 года.
Всего автор вредоносного пакета опубликовал целых шесть пакетов с общим числом загрузок более 2,1 млн. Четыре из них маскируются под библиотеки для криптосервисов, таких как Kraken, KuCoin, Solana и Monero, но также предназначены для развёртывания SeroXen RAT.
Цепочка атаки инициируется во время установки пакета с помощью скрипта tools/init.ps1, который предназначен для максимально скрытного выполнения кода.
«Несмотря на то, что он устарел, скрипт init.ps1 по–прежнему поддерживается Visual Studio и будет запускаться без каких-либо предупреждений при установке пакета NuGet. Тем временем, внутри файла .ps1 злоумышленник может писать произвольные команды», — Для просмотра ссылки Войди
SeroXen RAT — это вредоносное ПО, которое продаётся на киберпреступных форумах за 60 долларов. Этот безфайловый троянец удалённого доступа сочетает в себе функции открытого ПО Для просмотра ссылки Войди
Phylum отметила, что обнаружение SeroXen RAT в пакетах NuGet подчёркивает тенденцию, что злоумышленники продолжают использовать программное обеспечение с открытым исходным кодом во вредоносных целях.
Примечательно, что буквально за пару дней до обнаружения угрозы в NuGet специалисты Phylum Для просмотра ссылки Войди
Исследователи Checkmarx Для просмотра ссылки Войди
Ранее в этом месяце Checkmarx также Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru