Carding 4 Carders
Professional
- Messages
- 2,730
- Reaction score
- 1,466
- Points
- 113
Было обнаружено, что вредоносный пакет, размещенный в NuGet package manager для .NET Framework, доставляет троянца удаленного доступа под названием SeroXen RAT.
Пакет с именем Pathoschild.Stardew.Mod.Build.Конфигурация, опубликованная пользователем по имени Disti, является опечаткой законного пакета под названием Pathoschild.Stardew.ModBuildConfig, говорится в сегодняшнем отчете фирмы Phylum, занимающейся безопасностью цепочки поставок программного обеспечения.
В то время как реальный пакет на сегодняшний день получил почти 79 000 загрузок, говорят, что вредоносный вариант искусственно увеличил количество загрузок после публикации 6 октября 2023 года и превысил 100 000 загрузок.
Профиль, стоящий за пакетом, опубликовал шесть других пакетов, которые в совокупности собрали не менее 2,1 миллиона загрузок, четыре из которых маскируются под библиотеки для различных крипто-сервисов, таких как Kraken, KuCoin, Solana и Monero, но также предназначены для развертывания SeroXen RAT.
Цепочка атак инициируется во время установки пакета с помощью скрипта tools /init.ps1, который предназначен для выполнения кода без запуска какого-либо предупреждения, - поведение, ранее раскрытое JFrog в марте 2023 года как используемое для извлечения вредоносного ПО следующего этапа.
"Несмотря на то, что он устарел, скрипт init.ps1 по–прежнему поддерживается Visual Studio и будет запускаться без каких-либо предупреждений при установке пакета NuGet", - сказал тогда JFrog. "Внутри файла .ps1 злоумышленник может писать произвольные команды".
В пакете, проанализированном Phylum, сценарий PowerShell используется для загрузки файла с именем x.bin с удаленного сервера, который на самом деле представляет собой сильно запутанный пакетный скрипт Windows, который, в свою очередь, отвечает за создание и выполнение другого сценария PowerShell для окончательного развертывания SeroXen RAT.
Готовая вредоносная программа SeroXen RAT предлагается к продаже по цене 60 долларов за пожизненный комплект, что делает ее легко доступной для киберпреступников. Это RAT без файлов, который сочетает в себе функции Quasar RAT, руткит r77 и инструмент командной строки Windows NirCmd.
"Обнаружение SeroXen RAT в пакетах NuGet только подчеркивает, как злоумышленники продолжают эксплуатировать экосистемы с открытым исходным кодом и разработчиков, которые их используют", - сказал Филум.
Разработка началась после того, как компания обнаружила семь вредоносных пакетов в репозитории Python Package Index (PyPI), которые выдают себя за законные предложения поставщиков облачных услуг, таких как Aliyun, Amazon Web Services (AWS) и Tencent Cloud, для тайной передачи учетных данных на скрытый удаленный URL.
Названия пакетов перечислены ниже -
"В этой кампании злоумышленник пользуется доверием разработчика, используя существующую, устоявшуюся кодовую базу и вставляя один бит вредоносного кода, направленный на удаление конфиденциальных учетных данных в облаке", - отметил Филум.
"Тонкость заключается в стратегии злоумышленника по сохранению первоначальной функциональности пакетов, в попытке, так сказать, остаться незамеченным. Атака минималистична и проста, но эффективна".
Checkmarx, который также поделился дополнительными деталями той же кампании, сказал, что он также предназначен для нацеливания на Telegram с помощью обманчивого пакета с именем telethon2, который призван имитировать telethon, библиотеку Python для взаимодействия с API Telegram.
Большинство загрузок поддельных библиотек поступило из США, за которыми следуют Китай, Сингапур, Гонконг, Россия и Франция.
"Вместо автоматического выполнения вредоносный код в этих пакетах был стратегически скрыт в функциях, предназначенных для запуска только при вызове этих функций", - заявили в компании. "Злоумышленники использовали опечатывание и методы взлома звезд, чтобы заманить разработчиков в свои вредоносные пакеты".
Ранее в этом месяце Checkmarx дополнительно раскрыл неустанную и все более изощренную кампанию, направленную на PyPI по заполнению цепочки поставок программного обеспечения 271 вредоносным пакетом Python с целью кражи конфиденциальных данных и криптовалюты с хостов Windows.
Пакеты, которые также были оснащены функциями для демонтажа системной защиты, были в совокупности загружены примерно 75 000 раз, прежде чем были удалены.
Пакет с именем Pathoschild.Stardew.Mod.Build.Конфигурация, опубликованная пользователем по имени Disti, является опечаткой законного пакета под названием Pathoschild.Stardew.ModBuildConfig, говорится в сегодняшнем отчете фирмы Phylum, занимающейся безопасностью цепочки поставок программного обеспечения.
В то время как реальный пакет на сегодняшний день получил почти 79 000 загрузок, говорят, что вредоносный вариант искусственно увеличил количество загрузок после публикации 6 октября 2023 года и превысил 100 000 загрузок.
Профиль, стоящий за пакетом, опубликовал шесть других пакетов, которые в совокупности собрали не менее 2,1 миллиона загрузок, четыре из которых маскируются под библиотеки для различных крипто-сервисов, таких как Kraken, KuCoin, Solana и Monero, но также предназначены для развертывания SeroXen RAT.
Цепочка атак инициируется во время установки пакета с помощью скрипта tools /init.ps1, который предназначен для выполнения кода без запуска какого-либо предупреждения, - поведение, ранее раскрытое JFrog в марте 2023 года как используемое для извлечения вредоносного ПО следующего этапа.
"Несмотря на то, что он устарел, скрипт init.ps1 по–прежнему поддерживается Visual Studio и будет запускаться без каких-либо предупреждений при установке пакета NuGet", - сказал тогда JFrog. "Внутри файла .ps1 злоумышленник может писать произвольные команды".
В пакете, проанализированном Phylum, сценарий PowerShell используется для загрузки файла с именем x.bin с удаленного сервера, который на самом деле представляет собой сильно запутанный пакетный скрипт Windows, который, в свою очередь, отвечает за создание и выполнение другого сценария PowerShell для окончательного развертывания SeroXen RAT.
Готовая вредоносная программа SeroXen RAT предлагается к продаже по цене 60 долларов за пожизненный комплект, что делает ее легко доступной для киберпреступников. Это RAT без файлов, который сочетает в себе функции Quasar RAT, руткит r77 и инструмент командной строки Windows NirCmd.
"Обнаружение SeroXen RAT в пакетах NuGet только подчеркивает, как злоумышленники продолжают эксплуатировать экосистемы с открытым исходным кодом и разработчиков, которые их используют", - сказал Филум.
Разработка началась после того, как компания обнаружила семь вредоносных пакетов в репозитории Python Package Index (PyPI), которые выдают себя за законные предложения поставщиков облачных услуг, таких как Aliyun, Amazon Web Services (AWS) и Tencent Cloud, для тайной передачи учетных данных на скрытый удаленный URL.
Названия пакетов перечислены ниже -
- tencent-cloud-python-sdk
- python-alibabacloud-sdk-core
- alibabacloud-oss2
- python-alibabacloud-tea-openapi
- aws-enumerate-iam
- перечислять-iam-aws
- alisdkcore
"В этой кампании злоумышленник пользуется доверием разработчика, используя существующую, устоявшуюся кодовую базу и вставляя один бит вредоносного кода, направленный на удаление конфиденциальных учетных данных в облаке", - отметил Филум.
"Тонкость заключается в стратегии злоумышленника по сохранению первоначальной функциональности пакетов, в попытке, так сказать, остаться незамеченным. Атака минималистична и проста, но эффективна".
Checkmarx, который также поделился дополнительными деталями той же кампании, сказал, что он также предназначен для нацеливания на Telegram с помощью обманчивого пакета с именем telethon2, который призван имитировать telethon, библиотеку Python для взаимодействия с API Telegram.
Большинство загрузок поддельных библиотек поступило из США, за которыми следуют Китай, Сингапур, Гонконг, Россия и Франция.
"Вместо автоматического выполнения вредоносный код в этих пакетах был стратегически скрыт в функциях, предназначенных для запуска только при вызове этих функций", - заявили в компании. "Злоумышленники использовали опечатывание и методы взлома звезд, чтобы заманить разработчиков в свои вредоносные пакеты".
Ранее в этом месяце Checkmarx дополнительно раскрыл неустанную и все более изощренную кампанию, направленную на PyPI по заполнению цепочки поставок программного обеспечения 271 вредоносным пакетом Python с целью кражи конфиденциальных данных и криптовалюты с хостов Windows.
Пакеты, которые также были оснащены функциями для демонтажа системной защиты, были в совокупности загружены примерно 75 000 раз, прежде чем были удалены.
