Pacotes maliciosos do NuGet que aparentam ter mais de 2 milhões de downloads, se passando por carteiras de criptomoedas, câmbios de criptomoedas e bibliotecas Discord, infectam desenvolvedores com o trojan de acesso remoto SeroXen.
NuGet é um gerenciador de pacotes de código aberto e um sistema de distribuição de software que opera servidores de hospedagem de pacotes para permitir que os usuários os baixem e usem em seus projetos de desenvolvimento.
Os pacotes maliciosos enviados ao NuGet por um usuário chamado 'Disti' foram descobertos pelos pesquisadores da Phylum, que publicaram um relatório hoje para alertar sobre a ameaça.
Todos os seis pacotes no repositório do Disti contêm o mesmo arquivo XML que baixa 'x.bin', um arquivo em lote do Windows ofuscado que realiza atividades maliciosas no sistema comprometido.
Os pacotes imitam projetos populares de criptomoedas, exchanges e plataformas, até mesmo com os logotipos oficiais para enganar os usuários.
Os seis pacotes enviados por Disti ao NuGet, e que ainda estão disponíveis no momento da escrita, são:
Kraken.Exchange – 635k downloads
KucoinExchange.Net – 635k downloads
SolanaWallet – 600k downloads
Modern.Winform.UI – 100k downloads
Monero – 100k downloads
DiscordsRpc – 75k downloads
Acredita-se que o número de downloads seja inflado e pode não representar o alcance desses pacotes na comunidade NuGet.
Ainda assim, essas contagens de downloads reforçam eficazmente a credibilidade percebida dos pacotes, fazendo-os parecer versões genuínas dos aplicativos ou plataformas sugeridos por seus nomes.
Disti pode ter inflado os números de downloads usando scripts automatizados, botnets, máquinas virtuais ou contêineres em nuvem que baixam um pacote várias vezes.
Os pacotes incorporam dois scripts PowerShell que executam arquivos CMD e Batch durante a instalação no computador da vítima.
O script baixa um arquivo de uma URL externa, salva como ".cmd" em um diretório temporário e executa sem exibir nada na tela.
Este script busca outro arquivo chamado 'x.bin', que, apesar do nome, é um script batch ofuscado com mais de 12.000 linhas, e sua função é construir e executar outro script PowerShell.
Eventualmente, esse script final lê partes do arquivo cmd para descriptografar e descomprimir um payload codificada a partir de si mesmo, que a Phylum diz ser o RAT SeroXen.
Este trojan de acesso remoto cheio de recursos é comercializado como um programa legítimo e vendido por $15/mês ou uma única compra "vitalícia" de $60.
Em maio, a AT&T relatou que o RAT SeroXen está ganhando popularidade entre os criminosos cibernéticos que valorizam suas baixas taxas de detecção e poderosas capacidades.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...