Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Троян SeroXen RAT проник в репозиторий NuGet

16/10/23

open_source_software_repository_under_attack

В пакетном менеджере NuGet для фреймворка .NET был обнаружен вредоносный пакет, который распространяет троянский вирус под названием SeroXen RAT.

Пакет с названием «Pathoschild.Stardew.Mod.Build.Config», опубликованный пользователем «Disti», является именным искажением настоящего пакета « Pathoschild.Stardew.ModBuildConfig » — разница буквально в паре точек. О выявлении угрозы сообщила компания по безопасности программного обеспечения Phylum, передает Securitylab.

Хотя настоящий пакет был загружен около 79 000 раз, вредоносная версия сумела обогнать его, нарастив свой счётчик загрузок свыше 100 000 скачиваний после публикации пакета 6 октября 2023 года.

Всего автор вредоносного пакета опубликовал целых шесть пакетов с общим числом загрузок более 2,1 млн. Четыре из них маскируются под библиотеки для криптосервисов, таких как Kraken, KuCoin, Solana и Monero, но также предназначены для развёртывания SeroXen RAT.

Цепочка атаки инициируется во время установки пакета с помощью скрипта tools/init.ps1, который предназначен для максимально скрытного выполнения кода.

«Несмотря на то, что он устарел, скрипт init.ps1 по–прежнему поддерживается Visual Studio и будет запускаться без каких-либо предупреждений при установке пакета NuGet. Тем временем, внутри файла .ps1 злоумышленник может писать произвольные команды», — заявили представители компании JFrog в марте этого года, когда столкнулись с похожим принципом развёртывания вредоносного ПО.

SeroXen RAT — это вредоносное ПО, которое продаётся на киберпреступных форумах за 60 долларов. Этот безфайловый троянец удалённого доступа сочетает в себе функции открытого ПО Quasar RAT , руткита r77 и инструмента командной строки NirCmd .

Phylum отметила, что обнаружение SeroXen RAT в пакетах NuGet подчёркивает тенденцию, что злоумышленники продолжают использовать программное обеспечение с открытым исходным кодом во вредоносных целях.

Примечательно, что буквально за пару дней до обнаружения угрозы в NuGet специалисты Phylum обнаружили семь вредоносных пакетов в репозитории PyPI, которые имитируют законные предложения от облачных провайдеров, таких как Aliyun, AWS и Tencent Cloud, чтобы тайно передавать учётные данные на скрытый удалённый URL злоумышленников.

Исследователи Checkmarx также поделились дополнительными деталями той же кампании, сообщив, что она также нацелена на Telegram через обманный пакет telethon2. Большинство загрузок поддельных библиотек произошло из США, за которыми следуют Китай, Сингапур, Гонконг, Россия и Франция.

Темы:ПреступлениятрояныPhylumрепозитории ПО
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...