Se ha observado que los actores de amenazas publican una nueva ola de paquetes maliciosos en el administrador de paquetes NuGet como parte de una campaña en curso que comenzó en agosto de 2023, al tiempo que agregan una nueva capa de sigilo para evadir la detección.
Los nuevos paquetes, aproximadamente 60 en número y que abarcan 290 versiones, demuestran un enfoque refinado con respecto al conjunto anterior que salió a la luz en octubre de 2023, dijo la firma de seguridad de la cadena de suministro de software ReversingLabs.
Los atacantes pasaron de usar integraciones MSBuild de NuGet a «una estrategia que utiliza descargadores simples y ofuscados que se insertan en archivos binarios PE legítimos utilizando Intermediary Language (IL) Weaving, una técnica de programación .NET para modificar el código de una aplicación después de la compilación», dijo el investigador de seguridad Karlo Zanki. dicho.
El objetivo final de los paquetes falsificados, tanto antiguos como nuevos, es distribuir un troyano de acceso remoto listo para usar llamado SeroXen RAT. Todos los paquetes identificados han sido eliminados desde entonces.
La última colección de paquetes se caracteriza por el uso de una novedosa técnica denominada Tejido IL que permite inyectar funcionalidad maliciosa a un binario .NET ejecutable portátil (PE) legítimo tomado de un paquete NuGet legítimo.
Esto incluye tomar paquetes populares de código abierto como Guna.UI2.WinForms y parcharlo con el método mencionado anteriormente para crear un paquete impostor llamado «Gսոa.UI3.Wіnfօrms», que usa homoglifos para sustituir las letras «u», «n», «i» y «o» con sus equivalentes «ս» (u057D), «ո» (u0578), «і» (u0456) y «օ» (u0585).
«Los actores de amenazas están evolucionando constantemente los métodos y tácticas que utilizan para comprometer e infectar a sus víctimas con código malicioso que se utiliza para extraer datos confidenciales o proporcionar a los atacantes control sobre los activos de TI», dijo Zanki.
«Esta última campaña destaca nuevas formas en las que actores maliciosos están conspirando para engañar a los desarrolladores y equipos de seguridad para que descarguen y usen paquetes maliciosos o alterados de administradores de paquetes de código abierto populares como NuGet».