Tehdit aktörlerinin, Ağustos 2023’te başlayan ve devam eden bir kampanyanın parçası olarak NuGet paket yöneticisine yeni bir kötü amaçlı paket dalgası yayınladıkları ve ayrıca tespit edilmekten kaçınmak için yeni bir gizlilik katmanı ekledikleri gözlemlendi.
Yazılım tedarik zinciri güvenlik firması ReversingLabs, sayıları 60’a yakın ve 290 versiyona yayılan yeni paketlerin, Ekim 2023’te ortaya çıkan önceki sete göre daha rafine bir yaklaşımı ortaya koyduğunu söyledi.
Güvenlik araştırmacısı Karlo Zanki, saldırganların NuGet’in MSBuild entegrasyonlarını kullanmaktan “bir uygulamanın kodunu derlemeden sonra değiştirmek için .NET programlama tekniği olan Aracı Dil (IL) Örme’yi kullanarak meşru PE ikili dosyalarına yerleştirilen basit, gizlenmiş indiricileri kullanan bir stratejiye” geçtiğini söyledi.
Hem eski hem de yeni sahte paketlerin nihai hedefi, SeroXen RAT adlı hazır bir uzaktan erişim trojanını teslim etmektir. Tanımlanan tüm paketler o zamandan beri kaldırılmıştır.
Paketlerin en son koleksiyonu, meşru bir NuGet paketinden alınan meşru bir Taşınabilir Yürütülebilir (PE) .NET ikili dosyasına kötü amaçlı işlevsellik enjekte etmeyi mümkün kılan IL dokuma adı verilen yeni bir tekniğin kullanımıyla karakterize ediliyor.
Bu, Guna.UI2.WinForms gibi popüler açık kaynaklı paketleri alıp, yukarıda belirtilen yöntemle yamalayarak “Gսոa.UI3.Wіnfօrms” adlı bir sahte paket oluşturmayı içerir; bu paket, “u”, “n”, “i” ve “o” harflerini eşdeğerleri olan “ս” (\u057D), “ո” (\u0578), “і” (\u0456) ve “օ” (\u0585) ile değiştirmek için homoglifler kullanır.
Zanki, “Tehdit aktörleri, hassas verileri çıkarmak veya saldırganlara BT varlıkları üzerinde kontrol sağlamak için kullanılan kötü amaçlı kodlarla kurbanlarını tehlikeye atmak ve onları enfekte etmek için kullandıkları yöntem ve taktikleri sürekli olarak geliştiriyorlar” dedi.
“Bu son kampanya, kötü niyetli aktörlerin, NuGet gibi popüler açık kaynaklı paket yöneticilerinden kötü amaçlı veya değiştirilmiş paketleri indirip kullanmaları için geliştiricileri ve güvenlik ekiplerini kandırmak amacıyla kullandıkları yeni yolları ortaya koyuyor.”