恶意 NuGet 软件包利用 SeroXen RAT ,针对 .NET 开发人员
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
一份报告指出,.NET Framework的NuGet软件包管理器上发现了一个名为Pathoschild.Stardew.Mod.Build.Config的恶意软件包,它可发送名为SeroXen RAT的远程访问木马。攻击链是在安装软件包时通过tools/init.ps1脚本启动的。此外,还发现了7个冒充云服务提供商的恶意软件包,偷偷将凭证传输到一个混淆的远程URL。攻击者利用Typosquatting和StarJacking技术引诱开发者使用他们的恶意软件包。
🎯
关键要点
- 在.NET Framework的NuGet软件包管理器上发现了恶意软件包Pathoschild.Stardew.Mod.Build.Config,能够发送SeroXen RAT远程访问木马。
- 该恶意软件包是合法软件包Pathoschild.Stardew.ModBuildConfig的篡改版本,下载量被人为夸大至超过10万次。
- 攻击链通过安装软件包时的tools/init.ps1脚本启动,该脚本可实现代码执行而不触发警告。
- 恶意软件包背后还发布了其他六个软件包,伪装成加密服务库,累计下载量超过210万次,均用于部署SeroXen RAT。
- SeroXen RAT是一种无文件的远程访问木马,结合了多种恶意软件的功能,售价为60美元。
- Phylum检测到7个冒充云服务提供商的恶意软件包,偷偷将凭证传输到混淆的远程URL。
- 攻击者利用开发者的信任,插入恶意代码,同时保留软件包的原有功能以掩盖攻击。
- Checkmarx揭露了针对Telegram的欺骗性软件包telethon2,旨在模仿合法的Telegram API库。
- 恶意代码被策略性地隐藏在函数中,只有在调用时才会触发,攻击者利用Typosquatting和StarJacking技术引诱开发者。
- Checkmarx还发现了针对PyPI的复杂攻击活动,埋下271个恶意Python软件包以窃取敏感数据和加密货币。
➡️
