Les chercheurs en cybersécurité ont découvert un nouvel ensemble de packages malveillants publiés dans le gestionnaire de packages NuGet à l’aide d’une méthode moins connue de déploiement de logiciels malveillants.
La société de sécurité de la chaîne d’approvisionnement en logiciels ReversingLabs a décrit la campagne comme étant coordonnée et en cours depuis le 1er août 2023, tout en la reliant à une multitude de packages NuGet malveillants qui ont été observés délivrant un cheval de Troie d’accès à distance appelé SéroXène RAT.
« Les auteurs de la menace sont tenaces dans leur désir d’implanter des logiciels malveillants dans le référentiel NuGet et de publier continuellement de nouveaux packages malveillants », a déclaré Karlo Zanki, ingénieur inverse chez ReversingLabs. dit dans un rapport partagé avec The Hacker News.
Les noms de certains packages sont ci-dessous –
- Pathoschild.Stardew.Mod.Build.Config
- KucoinExchange.Net
- Kraken.Exchange
- DiscordsRpc
- Portefeuille Solana
- Monéro
- Moderne.Winform.UI
- MinecraftPocket.Serveur
- IAmRacine
- ZendeskApi.Client.V2
- Betalgo.Open.AI
- Forge.Open.AI
- Pathoschild.Stardew.Mod.BuildConfig
- CData.NetSuite.Net.Framework
- CData.Salesforce.Net.Framework
- CData.Snowflake.API
Ces packages, qui couvrent plusieurs versions, imitent les packages populaires et exploitent la fonctionnalité d’intégration MSBuild de NuGet afin d’implanter du code malveillant sur leurs victimes, une fonctionnalité appelée tâches en ligne pour réaliser l’exécution du code.
« Il s’agit du premier exemple connu de malware publié dans le référentiel NuGet exploitant cette fonctionnalité de tâches en ligne pour exécuter des malware », a déclaré Zanki.
Les packages désormais supprimés présentent des caractéristiques similaires dans la mesure où les acteurs malveillants à l’origine de l’opération ont tenté de dissimuler le code malveillant en utilisant des espaces et des onglets pour le déplacer hors de la largeur de l’écran par défaut.
Comme Phylum l’a précédemment révélé, les packages ont également artificiellement gonflé le nombre de téléchargements pour les rendre plus légitimes. Le but ultime des packages leurres est de servir de canal pour récupérer une charge utile .NET de deuxième étape hébergée sur un référentiel GitHub jetable.
« L’acteur malveillant derrière cette campagne est prudent et attentif aux détails, et est déterminé à maintenir cette campagne malveillante vivante et active », a déclaré Zanki.