網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一組新的惡意軟件包，這些軟件包使用一種鮮為人知的惡意軟件部署方法發(fā)布到 NuGet 軟件包管理器上。

軟件供應(yīng)鏈安全公司 ReversingLabs 稱，該活動(dòng)自 2023 年 8 月 1 日以來(lái)一直在持續(xù)進(jìn)行，同時(shí)將其與大量流氓 NuGet 軟件包聯(lián)系起來(lái)，這些軟件包被觀察到正在傳播一種名為 SeroXen RAT 的遠(yuǎn)程訪問(wèn)木馬。

ReversingLabs 的反向工程師 Karlo Zanki 在一份報(bào)告中說(shuō)：幕后的威脅行為者執(zhí)著地希望將惡意軟件植入 NuGet 存儲(chǔ)庫(kù)，并不斷發(fā)布新的惡意軟件包。

部分軟件包的名稱如下：

• Pathoschild.Stardew.Mod.Build.Config
• KucoinExchange.Net
• Kraken.Exchange
• DiscordsRpc
• SolanaWallet
• Monero
• Modern.Winform.UI
• MinecraftPocket.Server
• IAmRoot
• ZendeskApi.Client.V2
• Betalgo.Open.AI
• Forge.Open.AI
• Pathoschild.Stardew.Mod.BuildConfig
• CData.NetSuite.Net.Framework
• CData.Salesforce.Net.Framework
• CData.Snowflake.API

這些軟件包跨越多個(gè)版本，模仿流行軟件包并利用 NuGet 的 MSBuild 集成功能植入惡意代碼，以實(shí)現(xiàn)代碼執(zhí)行。

惡意 NuGet 軟件包

Zanki說(shuō)：這是第一個(gè)已知的利用內(nèi)聯(lián)任務(wù)功能在NuGet軟件庫(kù)中發(fā)布惡意軟件并執(zhí)行的例子。

現(xiàn)在被刪除的軟件包表現(xiàn)出了類似的特征，即幕后的威脅者試圖利用空格和制表符來(lái)隱藏惡意代碼，使其脫離默認(rèn)屏幕寬度的視野。

正如 Phylum 此前披露的那樣，這些軟件包還人為刷大了下載次數(shù)，使其看起來(lái)更合法。Zanki 說(shuō)：這一活動(dòng)背后的威脅行為者非常謹(jǐn)慎，注重細(xì)節(jié)，并決心讓這一惡意活動(dòng)保持活躍。

參考鏈接：https://thehackernews.com/2023/10/malicious-nuget-packages-caught.html