软件供应链安全公司 ReversingLabs 称,该活动自 2023 年 8 月 1 日以来一直在持续进行,同时将其与大量流氓 NuGet 软件包联系起来,这些软件包被观察到正在传播一种名为 SeroXen RAT 的远程访问木马。
ReversingLabs 的反向工程师 Karlo Zanki 在一份报告中说:幕后的威胁行为者执着地希望将恶意软件植入 NuGet 存储库,并不断发布新的恶意软件包。
部分软件包的名称如下
·Pathoschild.Stardew.Mod.Build.Config
· KucoinExchange.Net
· Kraken.Exchange
· DiscordsRpc
· SolanaWallet
· Monero
· Modern.Winform.UI
· MinecraftPocket.Server
· IAmRoot
· ZendeskApi.Client.V2
· Betalgo.Open.AI
· Forge.Open.AI
· Pathoschild.Stardew.Mod.BuildConfig
· CData.NetSuite.Net.Framework
· CData.Salesforce.Net.Framework
· CData.Snowflake.API
这些软件包跨越多个版本,模仿流行软件包并利用 NuGet 的 MSBuild 集成功能植入恶意代码,以实现代码执行。
恶意 NuGet 软件包
Zanki说:这是第一个已知的利用内联任务功能在NuGet软件库中发布恶意软件并执行的例子。
现在被删除的软件包表现出了类似的特征,即幕后的威胁者试图利用空格和制表符来隐藏恶意代码,使其脱离默认屏幕宽度的视野。
正如 Phylum 此前披露的那样,这些软件包还人为刷大了下载次数,使其看起来更合法。Zanki 说:这一活动背后的威胁行为者非常谨慎,注重细节,并决心让这一恶意活动保持活跃。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
