在 NuGet 供应链攻击中发现的 60 个新恶意包

admin 2024年7月15日22:03:56评论21 views字数 754阅读2分30秒阅读模式

在 NuGet 供应链攻击中发现的 60 个新恶意包

关键词

网络攻击

作为 2023 年 8 月开始的持续活动的一部分,已观察到威胁行为者向 NuGet 包管理器发布了新一波恶意包,同时还增加了一层新的隐身性以逃避检测。

在 NuGet 供应链攻击中发现的 60 个新恶意包

软件供应链安全公司 ReversingLabs 表示,这些新软件包数量约为 60 个,涵盖 290 个版本,展示了与 2023 年 10 月曝光的上一组软件包相比的改进方法。

安全研究员Karlo Zanki说,攻击者从使用NuGet的MSBuild集成转向“一种使用简单,混淆的下载器的策略,这些下载器使用中间语言(IL)Weaving插入到合法的PE二进制文件中,这是一种.NET编程技术,用于在编译后修改应用程序的代码。

假冒包装的最终目标,无论是旧的还是新的,都是提供一种名为 SeroXen RAT 的现成远程访问木马。此后,所有已识别的包裹都已被删除。

最新的包集合的特点是使用一种称为 IL 编织的新技术,该技术可以将恶意功能注入与合法 NuGet 包关联的可移植可执行 (PE) .NET 二进制文件。

这包括采用流行的开源包,如Guna.UI2.WinForms,并使用上述方法对其进行修补,以创建一个名为“Gսոa.UI3.Wіnfօrms”的冒名顶替包,该包使用同形体将字母“u”、“n”、“i”和“o”替换为它们的等效项“ս”(u057D)、“ո”(u0578)、“і”(u0456)。和“օ”(u0585)。

Zanki说:“威胁行为者正在不断改进他们用来破坏和感染受害者的方法和策略,这些恶意代码用于提取敏感数据或为攻击者提供对IT资产的控制权。

“这项最新的活动凸显了恶意行为者正在策划欺骗开发人员和安全团队的新方式,以下载和使用来自流行的开源包管理器(如NuGet)的恶意或篡改的包。”

END

原文始发于微信公众号(安全圈):【安全圈】在 NuGet 供应链攻击中发现的 60 个新恶意包

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月15日22:03:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   在 NuGet 供应链攻击中发现的 60 个新恶意包https://cn-sec.com/archives/2958068.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息