聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
ReversingLabs 公司表示,这些新的恶意包大概有60个,涉及290多个版本,展示出相比之前更加优化的方式。安全研究员 Karlo Zanki 表示,攻击者从使用 NuGet 的 MSBuild 集成跳转到“使用插入合法PE二进制文件的简单、混淆的下载器,使用中间语言 (IL) 编织即一种.NET编程技术,在编译后修改应用的代码。”这些伪造包的终极目标是交付现成可用的远程访问木马 SeroXen RAT。目前所有已识别出的程序包已被下架。
最新的这些程序包的特定是使用新型技术“IL编织”,从而将恶意功能注入源自合法 NuGet 包的合法的PE .NET二进制中。具体包括拿走热门开源包如 Guna.UI2.WinForms 并通过之前提到的方法打补丁,创建伪造包 “Guna.UI3.Winforms”,使用同形字,用 "ս" (u057D)、 "ո" (u0578)、 "і" (u0456) 和 "օ" (u0585) 替换 "u," "n," "i," 和 "o"。
Zanki 表示,“威胁行动者们不断改进通过恶意代码攻陷和感染受害者的方法和技术,提取敏感数据或获得对IT资产的控制权限。最新活动表明恶意人员意图欺骗开发人员和安全团队去下载和使用恶意或被篡改源自热门开源包管理器如 NuGet 等的包。”
原文始发于微信公众号(代码卫士):NuGet供应链攻击中出现60个新恶意包
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论