16/10/23
В пакетном менеджере NuGet для фреймворка .NET был обнаружен вредоносный пакет, который распространяет троянский вирус под названием SeroXen RAT.
Пакет с названием «Pathoschild.Stardew.Mod.Build.Config», опубликованный пользователем «Disti», является именным искажением настоящего пакета « Pathoschild.Stardew.ModBuildConfig » — разница буквально в паре точек. О выявлении угрозы сообщила компания по безопасности программного обеспечения Phylum, передает Securitylab.
Хотя настоящий пакет был загружен около 79 000 раз, вредоносная версия сумела обогнать его, нарастив свой счётчик загрузок свыше 100 000 скачиваний после публикации пакета 6 октября 2023 года.
Всего автор вредоносного пакета опубликовал целых шесть пакетов с общим числом загрузок более 2,1 млн. Четыре из них маскируются под библиотеки для криптосервисов, таких как Kraken, KuCoin, Solana и Monero, но также предназначены для развёртывания SeroXen RAT.
Цепочка атаки инициируется во время установки пакета с помощью скрипта tools/init.ps1, который предназначен для максимально скрытного выполнения кода.
«Несмотря на то, что он устарел, скрипт init.ps1 по–прежнему поддерживается Visual Studio и будет запускаться без каких-либо предупреждений при установке пакета NuGet. Тем временем, внутри файла .ps1 злоумышленник может писать произвольные команды», — заявили представители компании JFrog в марте этого года, когда столкнулись с похожим принципом развёртывания вредоносного ПО.
SeroXen RAT — это вредоносное ПО, которое продаётся на киберпреступных форумах за 60 долларов. Этот безфайловый троянец удалённого доступа сочетает в себе функции открытого ПО Quasar RAT , руткита r77 и инструмента командной строки NirCmd .
Phylum отметила, что обнаружение SeroXen RAT в пакетах NuGet подчёркивает тенденцию, что злоумышленники продолжают использовать программное обеспечение с открытым исходным кодом во вредоносных целях.
Примечательно, что буквально за пару дней до обнаружения угрозы в NuGet специалисты Phylum обнаружили семь вредоносных пакетов в репозитории PyPI, которые имитируют законные предложения от облачных провайдеров, таких как Aliyun, AWS и Tencent Cloud, чтобы тайно передавать учётные данные на скрытый удалённый URL злоумышленников.
Исследователи Checkmarx также поделились дополнительными деталями той же кампании, сообщив, что она также нацелена на Telegram через обманный пакет telethon2. Большинство загрузок поддельных библиотек произошло из США, за которыми следуют Китай, Сингапур, Гонконг, Россия и Франция.
