PACOTE NUGET MALICIOSO DIRECIONADO A DESENVOLVEDORES .NET COM SEROXEN RAT

 

Descobriu-se que um pacote malicioso hospedado no gerenciador de pacotes NuGet para o .NET Framework entrega um trojan de acesso remoto chamado SeroXen RAT.

O pacote, denominado Pathoschild.Stardew.Mod.Build.Config e publicado por um usuário chamado Disti, é um typosquat de um pacote legítimo chamado Pathoschild.Stardew.ModBuildConfig, disse a empresa de segurança da cadeia de suprimentos de software Phylum em um relatório hoje.

Embora o pacote real tenha recebido quase 79.000 downloads até o momento, diz-se que a variante maliciosa inflou artificialmente sua contagem de downloads após ser publicada em 6 de outubro de 2023, para ultrapassar 100.000 downloads.

O perfil por trás do pacote publicou seis outros pacotes que atraíram nada menos que 2,1 milhões de downloads cumulativamente, quatro dos quais se disfarçam como bibliotecas para vários serviços criptográficos como Kraken, KuCoin, Solana e Monero, mas também são projetados para implantar SeroXen RAT.

A cadeia de ataque é iniciada durante a instalação do pacote por meio de um script tools/init.ps1 projetado para executar o código sem disparar qualquer aviso, um comportamento divulgado anteriormente pela JFrog em março de 2023 como sendo explorado para recuperar malware de próximo estágio.

“Embora esteja obsoleto – o script init.ps1 ainda é respeitado pelo Visual Studio e será executado sem qualquer aviso ao instalar um pacote NuGet”, disse JFrog na época. "Dentro do arquivo .ps1, um invasor pode escrever comandos arbitrários."

No pacote analisado por Phylum, o script PowerShell é usado para baixar um arquivo chamado x.bin de um servidor remoto que, na realidade, é um script Windows Batch altamente ofuscado, que, por sua vez, é responsável por construir e executar outro script. Script do PowerShell para implantar o SeroXen RAT.

Um malware pronto para uso, o SeroXen RAT é colocado à venda por US$ 60 por um pacote vitalício, tornando-o facilmente acessível para criminosos cibernéticos. É um RAT sem arquivo que combina as funções do Quasar RAT, do rootkit r77 e da ferramenta de linha de comando do Windows NirCmd.

“A descoberta do SeroXen RAT em pacotes NuGet apenas ressalta como os invasores continuam a explorar ecossistemas de código aberto e os desenvolvedores que os utilizam”, disse Phylum.

O desenvolvimento ocorre no momento em que a empresa detectou sete pacotes maliciosos no repositório Python Package Index (PyPI) que se fazem passar por ofertas legítimas de provedores de serviços em nuvem, como Aliyun, Amazon Web Services (AWS) e Tencent Cloud para transmitir sub-repticiamente as credenciais para um controle remoto ofuscado. URL.

Os nomes dos pacotes estão listados abaixo -

tencent-cloud-python-sdk

python-alibabacloud-sdk-core

alibabacloud-oss2

python-alibabacloud-tea-openapi

aws-enumerate-iam

enumerar-iam-aws

alisdkcore

“Nesta campanha, o invasor está explorando a confiança de um desenvolvedor, pegando uma base de código existente e bem estabelecida e inserindo um único bit de código malicioso destinado a exfiltrar credenciais confidenciais da nuvem”, observou Phylum.

“A sutileza está na estratégia do invasor de preservar a funcionalidade original dos pacotes, tentando passar despercebido, por assim dizer. O ataque é minimalista e simples, mas eficaz.”

Checkmarx, que também compartilhou detalhes adicionais da mesma campanha, disse que ela também foi projetada para atingir o Telegram por meio de um pacote enganoso chamado telethon2, que visa imitar o telethon, uma biblioteca Python para interagir com a API do Telegram.

A maioria dos downloads de bibliotecas falsificadas teve origem nos EUA, seguidos pela China, Singapura, Hong Kong, Rússia e França.

“Em vez de realizar a execução automática, o código malicioso dentro desses pacotes estava estrategicamente escondido dentro de funções, projetadas para serem acionadas apenas quando essas funções fossem chamadas”, disse a empresa. “Os invasores aproveitaram as técnicas Typosquatting e StarJacking para atrair os desenvolvedores para seus pacotes maliciosos.”

No início deste mês, Checkmarx expôs ainda uma campanha implacável e progressivamente sofisticada destinada ao PyPI para semear a cadeia de fornecimento de software com 271 pacotes Python maliciosos, a fim de roubar dados confidenciais e criptomoedas de hosts Windows.

Os pacotes, que também vinham equipados com funções para desmantelar as defesas do sistema, foram baixados coletivamente aproximadamente 75 mil vezes antes de serem retirados do ar.

Veja a noticia completa em: https://thehackernews.com/2023/10/malicious-nuget-package-targeting-net.html

Fonte: https://thehackernews.com

 

Achou esse artigo interessante? Siga Samir News em Instagram, Facebook, Telegram, Twitter, Grupo No Whatsapp, App Boletim Tec 2.0 e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

#samirnews #samir #news #boletimtec #pacote #nuget #malicioso #direcionado #a #desenvolvedores #.net #com #seroxen #rat