Pacotes Maliciosos NuGet Capturados Distribuindo Malware SeroXen RAT
1 de Novembro de 2023

Pacotes Maliciosos NuGet Capturados Distribuindo Malware SeroXen RAT.

Pesquisadores de segurança cibernética descobriram um novo conjunto de pacotes maliciosos publicados no gerenciador de pacotes NuGet, usando um método menos conhecido para a implantação de malware.

A empresa de segurança da cadeia de suprimentos de software, ReversingLabs, descreveu a campanha como coordenada e em andamento desde 1º de agosto de 2023, enquanto a associava a uma série de pacotes NuGet desonestos que foram observados entregando um trojan de acesso remoto chamado SeroXen RAT.

"Os agentes de ameaças por trás disso são tenazes em seu desejo de plantar malware no repositório NuGet e publicar continuamente novos pacotes maliciosos", Karlo Zanki, engenheiro reverso na ReversingLabs, disse em um relatório compartilhado com The Hacker News.

Os nomes de alguns dos pacotes estão abaixo -

Pathoschild.Stardew.Mod.Build.Config
KucoinExchange.Net
Kraken.Exchange
DiscordsRpc
SolanaWallet
Monero
Modern.Winform.UI
MinecraftPocket.Server
IAmRoot
ZendeskApi.Client.V2
Betalgo.Open.AI
Forge.Open.AI
Pathoschild.Stardew.Mod.BuildConfig
CData.NetSuite.Net.Framework
CData.Salesforce.Net.Framework
CData.Snowflake.API

Esses pacotes, que variam em várias versões, imitam pacotes populares e exploram o recurso de integrações do NuGet's MSBuild, a fim de implantar um código malicioso em suas vítimas, um recurso chamado tarefas inline para executar código.

"Este é o primeiro exemplo conhecido de malware publicado no repositório NuGet que explora este recurso de tarefas inline para executar malware", disse Zanki.

Os pacotes agora removidos exibem características similares, pois os agentes de ameaças por trás da operação tentaram esconder o código malicioso usando espaços e abas para movê-lo para fora da visão da largura padrão da tela.

Como divulgado anteriormente pela Phylum, os pacotes também têm contagens artificialmente inflacionadas de downloads para parecerem mais legítimos.

O objetivo final dos pacotes iscas é agir como um conduto para a recuperação de uma segunda carga .NET hospedada em um repositório descartável no GitHub.

"O agente de ameaça por trás desta campanha está sendo cuidadoso e prestando atenção aos detalhes, e está determinado a manter essa campanha maliciosa viva e ativa", disse Zanki.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...