导 读
研究人员发现 .NET Framework 的 NuGet 包管理器上托管的恶意包会传播名为 SeroXen RAT 的远程访问木马。
软件供应链安全公司 Phylum在今天的一份报告中表示,恶意软件包名为 Pathoschild.Stardew.Mod.Build.Config,由名为Disti的用户发布,使用与合法包名Pathoschild.Stardew.ModBuildConfig仅差一个符号的包名来欺骗开发人员安装。
该软件包背后的配置文件还发布了其他六个软件包,累计吸引了不少于 210 万次下载,其中四个软件包伪装成各种加密服务的库,例如 Kraken、KuCoin、Solana 和 Monero,其意图均为部署 SeroXen RAT远程访问木马。
攻击链是在软件包安装过程中通过 tools/init.ps1 脚本启动的,该脚本旨在实现代码执行而不触发任何警告,JFrog 此前于 2023 年 3 月披露了这种行为,用于检索下一阶段的恶意软件。
JFrog当时表示:“虽然它已被弃用,但 Visual Studio 仍然支持 init.ps1 脚本,并且在安装 NuGet 包时将运行而不会发出任何警告。” “在 .ps1 文件内,攻击者可以编写任意命令。”
在 Phylum 分析的包中,PowerShell 脚本用于从远程服务器下载名为 x.bin 的文件,该文件实际上是一个经过严重混淆的 Windows Batch 脚本,而该脚本又负责构建和执行另一个脚本用于最终部署 SeroXen RAT 的 PowerShell 脚本。
SeroXen RAT是一款现成的恶意软件,终身捆绑售价为 60 美元,网络犯罪分子可以轻松利用它。它是一种无文件 RAT,结合了 Quasar RAT、 r77 rootkit和 Windows 命令行工具NirCmd的功能。
“在 NuGet 软件包中发现 SeroXen RAT 仅强调了攻击者如何继续利用开源生态系统以及使用它们的开发人员。”Phylum 说。
这一进展正值该公司在 Python Package Index (PyPI) 存储库中检测到 7 个恶意软件包,这些软件包冒充阿里云、亚马逊网络服务 (AWS) 和腾讯云等云服务提供商的合法产品,秘密将凭证传输到混淆的远程服务器。
研究人员列出了软件包的名称:
-
tencent-cloud-python-sdk
-
python-alibabacloud-sdk-core
-
alibabacloud-oss2
-
python-alibabacloud-tea-openapi
-
aws-enumerate-iam
-
enumerate-iam-aws
-
Alisdkcore
Phylum指出:“在这次活动中,攻击者利用开发人员的信任,获取现有的、完善的代码库,并插入一点恶意代码,旨在窃取敏感的云凭据。”
微妙之处在于攻击者保留软件包原始功能的策略,这种攻击手法是简单有效。
Checkmarx 还分享了同一活动的更多细节,并表示它还旨在通过名为 telethon2 的欺骗性软件包来瞄准 Telegram,该软件包旨在模仿 telethon(一个与 Telegram API 交互的 Python 库)。
假冒libraries的大部分下载来自美国,其次是中国、新加坡、香港、俄罗斯和法国。
研究人员表示:“这些软件包中的恶意代码不是自动执行,而是隐藏在函数中,仅在调用这些函数时触发。” “攻击者利用域名抢注和StarJacking 技术来引诱开发人员使用他们的恶意软件包。”
本月早些时候,Checkmarx曝光了一项针对 PyPI 的持续且日益复杂的攻击活动,该活动向软件供应链植入271 个恶意 Python 包,以从 Windows 主机窃取敏感数据和加密货币。
这些软件包还配备了卸载系统防御软件的功能,在被删除之前总共被下载了大约 75,000 次。
参考链接:https://thehackernews.com/2023/10/malicious-nuget-package-targeting-net.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
ToddyCat 黑客使用“一次性”恶意软件瞄准亚洲电信公司
https://www.bleepingcomputer.com/news/security/toddycat-hackers-use-disposable-malware-to-target-asian-telecoms/
一般威胁事件
General Threat Incidents
ShellBot 使用十六进制 IP 来逃避对 Linux SSH 服务器的攻击检测
https://thehackernews.com/2023/10/shellbot-uses-hex-ips-to-evade.html
Microsoft Defender 阻止大规模 Akira 勒索软件攻击
https://thehackernews.com/2023/10/microsoft-defender-thwarts-akira.html
勒索软件攻击针对未修补漏洞(CVE-2023-40044)的 WS_FTP 服务器
https://www.bleepingcomputer.com/news/security/ransomware-attacks-now-target-unpatched-ws-ftp-servers/
辛普森制造公司在网络攻击后使系统离线
https://www.securityweek.com/simpson-manufacturing-takes-systems-offline-following-cyberattack/
高端云计算服务提供商 Shadow PC 向客户发出数据泄露警告
https://www.bleepingcomputer.com/news/security/shadow-pc-warns-of-data-breach-as-hacker-tries-to-sell-gamers-info/
英国制造业巨头Volex本周末遭受勒索软件攻击
https://therecord.media/manufacturing-giant-hit-with-cyberattack
WordPress 网站上发现伪装成合法插件的后门恶意软件
https://www.securityweek.com/backdoor-malware-found-on-wordpress-website-disguised-as-legitimate-plugin/
针对 Microsoft 帐户的网络钓鱼活动中滥用 LinkedIn 智能链接
https://www.securityweek.com/linkedin-smart-links-abused-in-phishing-campaign-targeting-microsoft-accounts/
针对 .NET 开发人员的恶意 NuGet 包传播SeroXen RAT远程访问木马
https://thehackernews.com/2023/10/malicious-nuget-package-targeting-net.html
漏洞事件
Vulnerability Incidents
Apple 发布 iOS 16 更新以修补被利用的漏洞
https://www.securityweek.com/apple-releases-ios-16-update-to-patch-exploited-vulnerability/
西门子和施耐德电气发布了十多个公告,解决了 40 多个漏洞
https://www.securityweek.com/ics-patch-tuesday-siemens-ruggedcom-devices-affected-by-nozomi-component-flaws/
中国一帆公司制造的工业路由器受到多个严重漏洞影响,这些漏洞可能使组织遭受攻击
https://www.securityweek.com/unpatched-vulnerabilities-expose-yifan-industrial-routers-to-attacks/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(会杀毒的单反狗):警惕新供应链攻击:针对 .NET开发人员的恶意NuGet包传播SeroXen RAT远程访问木马
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论