Se ha descubierto que un paquete malicioso alojado en el administrador de paquetes NuGet para .NET Framework entrega un troyano de acceso remoto llamado SeroXen RAT.<\/p>\n
El paquete, llamado Pathoschild.Stardew.Mod.Build.Config y publicado por un usuario llamado Disti<\/a>es un error tipogr\u00e1fico de un paquete leg\u00edtimo llamado Pathoschild.Stardew.ModBuildConfig<\/a>empresa de seguridad de la cadena de suministro de software Phylum dicho<\/a> en un informe de hoy.<\/p>\n Si bien el paquete real ha recibido casi 79.000 descargas hasta la fecha, se dice que la variante maliciosa infl\u00f3 artificialmente su recuento de descargas despu\u00e9s de su publicaci\u00f3n el 6 de octubre de 2023, para superar las 100.000 descargas.<\/p>\n El perfil detr\u00e1s del paquete ha publicado otros seis paquetes que han atra\u00eddo no menos de 2,1 millones de descargas acumuladas, cuatro de las cuales se hacen pasar por bibliotecas para varios servicios criptogr\u00e1ficos como Kraken, KuCoin, Solana y Monero, pero tambi\u00e9n est\u00e1n dise\u00f1adas para implementar SeroXen RAT.<\/p>\n La cadena de ataque se inicia durante la instalaci\u00f3n del paquete mediante un script tools\/init.ps1 que est\u00e1 dise\u00f1ado para lograr la ejecuci\u00f3n del c\u00f3digo sin generar ninguna advertencia, un comportamiento previamente revelado por JFrog en marzo de 2023 como explotado para recuperar malware de la siguiente etapa.<\/p>\n “Aunque est\u00e1 en desuso, Visual Studio a\u00fan respeta el script init.ps1 y se ejecutar\u00e1 sin previo aviso al instalar un paquete NuGet”, JFrog dicho<\/a> En el momento. “Dentro del archivo .ps1, un atacante puede escribir comandos arbitrarios”.<\/p>\n En el paquete analizado por Phylum, el script PowerShell se utiliza para descargar un archivo llamado x.bin desde un servidor remoto que, en realidad, es un script Windows Batch muy ofuscado, que, a su vez, es responsable de construir y ejecutar otro Script de PowerShell para implementar finalmente SeroXen RAT.<\/p>\n SeroXen RAT, un malware disponible en el mercado, se ofrece a la venta por $60 por un paquete de por vida, lo que lo hace f\u00e1cilmente accesible para los ciberdelincuentes. Es un RAT sin archivos que combina las funciones de Quasar RAT, el rootkit r77 y la herramienta de l\u00ednea de comandos de Windows. NirCmd<\/a>.<\/p>\n “El descubrimiento de SeroXen RAT en los paquetes NuGet s\u00f3lo subraya c\u00f3mo los atacantes contin\u00faan explotando los ecosistemas de c\u00f3digo abierto y a los desarrolladores que los utilizan”, dijo Phylum.<\/p>\n El desarrollo se produce cuando la compa\u00f1\u00eda detect\u00f3 siete paquetes maliciosos en el repositorio Python Package Index (PyPI) que se hacen pasar por ofertas leg\u00edtimas de proveedores de servicios en la nube como Aliyun, Amazon Web Services (AWS) y Tencent Cloud para transmitir subrepticiamente las credenciales a un control remoto ofuscado. URL.<\/p>\n Los nombres de los paquetes se enumeran a continuaci\u00f3n:<\/p>\n “En esta campa\u00f1a, el atacante est\u00e1 explotando la confianza de un desarrollador, tomando una base de c\u00f3digo existente y bien establecida e insertando un solo bit de c\u00f3digo malicioso destinado a exfiltrar credenciales confidenciales de la nube”, Phylum anotado<\/a>.<\/p>\n “La sutileza radica en la estrategia del atacante de preservar la funcionalidad original de los paquetes, intentando pasar desapercibidos, por as\u00ed decirlo. El ataque es minimalista y simple, pero efectivo”.<\/p>\n Checkmarx, que tambi\u00e9n comparti\u00f3 detalles adicionales de la misma campa\u00f1a, dijo que tambi\u00e9n est\u00e1 dise\u00f1ada para apuntar a Telegram a trav\u00e9s de un paquete enga\u00f1oso llamado telethon2, que pretende imitar telethon, una biblioteca de Python para interactuar con la API de Telegram.<\/p>\n La mayor\u00eda de las descargas de bibliotecas falsificadas se originaron en Estados Unidos, seguidos de China, Singapur, Hong Kong, Rusia y Francia.<\/p>\n “En lugar de realizar una ejecuci\u00f3n autom\u00e1tica, el c\u00f3digo malicioso dentro de estos paquetes estaba estrat\u00e9gicamente oculto dentro de funciones, dise\u00f1adas para activarse s\u00f3lo cuando se llamaban estas funciones”, dijo la empresa. dicho<\/a>. “Los atacantes aprovecharon las t\u00e9cnicas Typosquatting y StarJacking para atraer a los desarrolladores a sus paquetes maliciosos”.<\/p>\n A principios de este mes, Checkmarx m\u00e1s expuesto<\/a> una campa\u00f1a implacable y progresivamente sofisticada dirigida a PyPI para sembrar la cadena de suministro de software con 271 paquetes maliciosos de Python<\/a> para robar datos confidenciales y criptomonedas de hosts de Windows.<\/p>\n Los paquetes, que tambi\u00e9n ven\u00edan equipados con funciones para desmantelar las defensas del sistema, se descargaron en conjunto aproximadamente 75.000 veces antes de ser eliminados.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/Paquete-NuGet-malicioso-dirigido-a-desarrolladores-NET-con-SeroXen-RAT.jpg\")
<\/a><\/center><\/div>\n\n
<\/a><\/center><\/div>\n<\/a><\/div>\n