Un package malveillant hébergé sur le gestionnaire de packages NuGet pour le .NET Framework s’est avéré fournir un cheval de Troie d’accès à distance appelé SeroXen RAT.
Le package, nommé Pathoschild.Stardew.Mod.Build.Config et publié par un utilisateur nommé Distiest un typosquat d’un package légitime appelé Pathoschild.Stardew.ModBuildConfigsociété de sécurité de la chaîne d’approvisionnement en logiciels Phylum dit dans un rapport aujourd’hui.
Alors que le véritable package a reçu près de 79 000 téléchargements à ce jour, la variante malveillante aurait artificiellement gonflé son nombre de téléchargements après sa publication le 6 octobre 2023, pour dépasser les 100 000 téléchargements.
Le profil derrière le package a publié six autres packages qui ont attiré pas moins de 2,1 millions de téléchargements au total, dont quatre se font passer pour des bibliothèques pour divers services de cryptographie comme Kraken, KuCoin, Solana et Monero, mais sont également conçus pour déployer SeroXen RAT.
La chaîne d’attaque est lancée lors de l’installation du package au moyen d’un script tools/init.ps1 conçu pour exécuter du code sans déclencher aucun avertissement, un comportement précédemment divulgué par JFrog en mars 2023 comme étant exploité pour récupérer un malware de l’étape suivante.
« Bien qu’il soit obsolète, le script init.ps1 est toujours honoré par Visual Studio et s’exécutera sans aucun avertissement lors de l’installation d’un package NuGet », JFrog dit à l’époque. « Dans le fichier .ps1, un attaquant peut écrire des commandes arbitraires. »
Dans le package analysé par Phylum, le script PowerShell est utilisé pour télécharger un fichier nommé x.bin à partir d’un serveur distant qui, en réalité, est un script Windows Batch fortement obscurci, qui, à son tour, est responsable de la construction et de l’exécution d’un autre. Script PowerShell pour finalement déployer le SeroXen RAT.
Un malware disponible dans le commerce, SeroXen RAT, est proposé à la vente au prix de 60 $ pour un forfait à vie, ce qui le rend facilement accessible aux cybercriminels. Il s’agit d’un RAT sans fichier qui combine les fonctions de Quasar RAT, du rootkit r77 et de l’outil de ligne de commande Windows. NirCmd.
« La découverte de SeroXen RAT dans les packages NuGet ne fait que souligner la manière dont les attaquants continuent d’exploiter les écosystèmes open source et les développeurs qui les utilisent », a déclaré Phylum.
Ce développement intervient alors que la société a détecté sept packages malveillants dans le référentiel Python Package Index (PyPI) qui usurpent l’identité d’offres légitimes de fournisseurs de services cloud tels qu’Aliyun, Amazon Web Services (AWS) et Tencent Cloud pour transmettre subrepticement les informations d’identification à une télécommande obscurcie. URL.
Les noms des packages sont répertoriés ci-dessous –
- tencent-cloud-python-sdk
- python-alibabacloud-sdk-core
- alibabacloud-oss2
- python-alibabacloud-tea-openapi
- aws-enumerate-iam
- énumérer-iam-aws
- alisdkcore
« Dans cette campagne, l’attaquant exploite la confiance d’un développeur, en prenant une base de code existante et bien établie et en insérant un seul morceau de code malveillant visant à exfiltrer les informations d’identification sensibles du cloud », Phylum noté.
« La subtilité réside dans la stratégie de l’attaquant consistant à préserver la fonctionnalité d’origine des packages, en essayant de passer inaperçus, pour ainsi dire. L’attaque est minimaliste et simple, mais efficace. »
Checkmarx, qui a également partagé des détails supplémentaires sur la même campagne, a déclaré qu’elle était également conçue pour cibler Telegram via un package trompeur nommé telethon2, qui vise à imiter telethon, une bibliothèque Python pour interagir avec l’API de Telegram.
La majorité des téléchargements de bibliothèques contrefaites proviennent des États-Unis, suivis de Chine, de Singapour, de Hong Kong, de Russie et de France.
« Plutôt que d’effectuer une exécution automatique, le code malveillant contenu dans ces packages était stratégiquement caché dans des fonctions, conçues pour se déclencher uniquement lorsque ces fonctions étaient appelées », explique la société. dit. « Les attaquants ont exploité les techniques de Typosquatting et StarJacking pour attirer les développeurs vers leurs packages malveillants. »
Plus tôt ce mois-ci, Checkmarx davantage exposé une campagne incessante et progressivement sophistiquée visant à PyPI pour ensemencer la chaîne d’approvisionnement en logiciels avec 271 packages Python malveillants afin de voler des données sensibles et des crypto-monnaies sur les hôtes Windows.
Les packages, également dotés de fonctions permettant de démanteler les défenses du système, ont été téléchargés collectivement environ 75 000 fois avant d’être supprimés.