Se ha descubierto que un paquete malicioso alojado en el administrador de paquetes NuGet para .NET Framework entrega un troyano de acceso remoto llamado SeroXen RAT.
El paquete, llamado Pathoschild.Stardew.Mod.Build.Config y publicado por un usuario llamado Disties un error tipográfico de un paquete legítimo llamado Pathoschild.Stardew.ModBuildConfigempresa de seguridad de la cadena de suministro de software Phylum dicho en un informe de hoy.
Si bien el paquete real ha recibido casi 79.000 descargas hasta la fecha, se dice que la variante maliciosa infló artificialmente su recuento de descargas después de su publicación el 6 de octubre de 2023, para superar las 100.000 descargas.
El perfil detrás del paquete ha publicado otros seis paquetes que han atraído no menos de 2,1 millones de descargas acumuladas, cuatro de las cuales se hacen pasar por bibliotecas para varios servicios criptográficos como Kraken, KuCoin, Solana y Monero, pero también están diseñadas para implementar SeroXen RAT.
La cadena de ataque se inicia durante la instalación del paquete mediante un script tools/init.ps1 que está diseñado para lograr la ejecución del código sin generar ninguna advertencia, un comportamiento previamente revelado por JFrog en marzo de 2023 como explotado para recuperar malware de la siguiente etapa.
«Aunque está en desuso, Visual Studio aún respeta el script init.ps1 y se ejecutará sin previo aviso al instalar un paquete NuGet», JFrog dicho En el momento. «Dentro del archivo .ps1, un atacante puede escribir comandos arbitrarios».
En el paquete analizado por Phylum, el script PowerShell se utiliza para descargar un archivo llamado x.bin desde un servidor remoto que, en realidad, es un script Windows Batch muy ofuscado, que, a su vez, es responsable de construir y ejecutar otro Script de PowerShell para implementar finalmente SeroXen RAT.
SeroXen RAT, un malware disponible en el mercado, se ofrece a la venta por $60 por un paquete de por vida, lo que lo hace fácilmente accesible para los ciberdelincuentes. Es un RAT sin archivos que combina las funciones de Quasar RAT, el rootkit r77 y la herramienta de línea de comandos de Windows. NirCmd.
«El descubrimiento de SeroXen RAT en los paquetes NuGet sólo subraya cómo los atacantes continúan explotando los ecosistemas de código abierto y a los desarrolladores que los utilizan», dijo Phylum.
El desarrollo se produce cuando la compañía detectó siete paquetes maliciosos en el repositorio Python Package Index (PyPI) que se hacen pasar por ofertas legítimas de proveedores de servicios en la nube como Aliyun, Amazon Web Services (AWS) y Tencent Cloud para transmitir subrepticiamente las credenciales a un control remoto ofuscado. URL.
Los nombres de los paquetes se enumeran a continuación:
- tencent-cloud-python-sdk
- Python-alibabacloud-sdk-core
- alibabacloud-oss2
- Python-alibabacloud-té-openapi
- aws-enumerar-iam
- enumerar-iam-aws
- alisdkcore
«En esta campaña, el atacante está explotando la confianza de un desarrollador, tomando una base de código existente y bien establecida e insertando un solo bit de código malicioso destinado a exfiltrar credenciales confidenciales de la nube», Phylum anotado.
«La sutileza radica en la estrategia del atacante de preservar la funcionalidad original de los paquetes, intentando pasar desapercibidos, por así decirlo. El ataque es minimalista y simple, pero efectivo».
Checkmarx, que también compartió detalles adicionales de la misma campaña, dijo que también está diseñada para apuntar a Telegram a través de un paquete engañoso llamado telethon2, que pretende imitar telethon, una biblioteca de Python para interactuar con la API de Telegram.
La mayoría de las descargas de bibliotecas falsificadas se originaron en Estados Unidos, seguidos de China, Singapur, Hong Kong, Rusia y Francia.
«En lugar de realizar una ejecución automática, el código malicioso dentro de estos paquetes estaba estratégicamente oculto dentro de funciones, diseñadas para activarse sólo cuando se llamaban estas funciones», dijo la empresa. dicho. «Los atacantes aprovecharon las técnicas Typosquatting y StarJacking para atraer a los desarrolladores a sus paquetes maliciosos».
A principios de este mes, Checkmarx más expuesto una campaña implacable y progresivamente sofisticada dirigida a PyPI para sembrar la cadena de suministro de software con 271 paquetes maliciosos de Python para robar datos confidenciales y criptomonedas de hosts de Windows.
Los paquetes, que también venían equipados con funciones para desmantelar las defensas del sistema, se descargaron en conjunto aproximadamente 75.000 veces antes de ser eliminados.