Los investigadores de ciberseguridad han descubierto un nuevo conjunto de paquetes maliciosos publicados en el administrador de paquetes NuGet utilizando un método menos conocido para la implementación de malware.
La empresa de seguridad de la cadena de suministro de software, ReversingLabs, describió la campaña como coordinada y en curso desde el 1 de agosto de 2023, y la vinculó a una gran cantidad de paquetes NuGet maliciosos que se observó que entregaban un troyano de acceso remoto llamado SeroXen RATA.
“Los actores de amenazas detrás de esto son tenaces en su deseo de colocar malware en el repositorio de NuGet y publicar continuamente nuevos paquetes maliciosos”, Karlo Zanki, ingeniero inverso de ReversingLabs, dicho en un informe compartido con The Hacker News.
Los nombres de algunos de los paquetes se encuentran a continuación:
- Pathoschild.Stardew.Mod.Build.Config
- KucoinExchange.Net
- Kraken.Exchange
- DiscordiasRpc
- Cartera Solana
- Monero
- Moderna.Winform.UI
- MinecraftPocket.Servidor
- SoyRoot
- ZendeskApi.Cliente.V2
- Betalgo.Open.AI
- Forge.Open.AI
- Pathoschild.Stardew.Mod.BuildConfig
- CData.NetSuite.Net.Framework
- CData.Salesforce.Net.Framework
- CData.Snowflake.API
Estos paquetes, que abarcan varias versiones, imitan paquetes populares y explotan la función de integraciones MSBuild de NuGet para implantar código malicioso en sus víctimas, una función llamada tareas en línea para lograr la ejecución del código.
“Este es el primer ejemplo conocido de malware publicado en el repositorio NuGet que explota esta característica de tareas en línea para ejecutar malware”, dijo Zanki.
Los paquetes ahora eliminados exhiben características similares en el sentido de que los actores de amenazas detrás de la operación intentaron ocultar el código malicioso haciendo uso de espacios y tabulaciones para moverlo fuera de la vista del ancho de pantalla predeterminado.
Como reveló anteriormente Phylum, los paquetes también tienen recuentos de descargas inflados artificialmente para que parezcan más legítimos. El objetivo final de los paquetes señuelo es actuar como un conducto para recuperar una carga útil .NET de segunda etapa alojada en un repositorio GitHub desechable.
“El actor de amenazas detrás de esta campaña está siendo cuidadoso y prestando atención a los detalles, y está decidido a mantener viva y activa esta campaña maliciosa”, dijo Zanki.
About the Author
