Как выяснили исследователи из ReversingLabs, она ведется с 1 августа 2023 года.
Злоумышленники публикуют в NuGet поддельные пакеты, маскируя их под популярные библиотеки. Среди обнаруженных:
Чтобы ввести пользователя в заблуждение, мошенники прибегают к различным уловкам. Они искусственно завышают количество скачиваний файлов, а сам код маскируют с помощью специальных символов и отступов.
Когда зараженная библиотека успешно установлена, начинается загрузка основной вредоносной программы, написанной на.NET. Эту программу размещают во временных репозиториях на GitHub, вероятно, чтобы затруднить её обнаружение и удаление.
Таким образом на компьютер жертвы попадает троян SeroXen RAT, предоставляющий хакерам полный доступ к системе.
Эксперты отмечают, что это первый известный случай использования встроенных задач MSBuild в NuGet для подобных кампаний, пишут в Securitylab.
MSBuild — это технология, позволяющая автоматически запускать код при установке библиотеки.
Разработчикам советуют проявлять повышенную бдительность при установке пакетов из сторонних источников. Также необходимо ужесточить проверку файлов, публикуемых в официальном репозитории NuGet.