SeroXen RAT ile .NET Geliştiricilerini Hedefleyen Kötü Amaçlı NuGet Paketi


NuGet paketi

.NET Framework için NuGet paket yöneticisinde barındırılan kötü amaçlı bir paketin, SeroXen RAT adlı bir uzaktan erişim truva atı yaydığı tespit edildi.

Yazılım tedarik zinciri güvenlik firması Phylum, bugün yayınladığı raporda Pathoschild.Stardew.Mod.Build.Config adlı ve Disti adlı bir kullanıcı tarafından yayınlanan paketin Pathoschild.Stardew.ModBuildConfig adlı meşru bir paketin yazım hatası olduğunu söyledi.

Gerçek paket bugüne kadar yaklaşık 79.000 indirme alırken, kötü amaçlı varyantın 6 Ekim 2023’te yayınlandıktan sonra indirme sayısını yapay olarak şişirerek 100.000 indirmeyi aştığı söyleniyor.

Paketin arkasındaki profil, kümülatif olarak en az 2,1 milyon indirme sayısına ulaşan altı paket daha yayınladı; bunlardan dördü Kraken, KuCoin, Solana ve Monero gibi çeşitli kripto hizmetleri için kitaplık görünümüne büründü ancak aynı zamanda SeroXen RAT’ı dağıtmak için tasarlandı.

Saldırı zinciri, herhangi bir uyarıyı tetiklemeden kod yürütmeyi gerçekleştirmek için tasarlanmış bir Tools/init.ps1 betiği aracılığıyla paketin kurulumu sırasında başlatılıyor; bu davranış daha önce JFrog tarafından Mart 2023’te bir sonraki aşamadaki kötü amaçlı yazılımları almak için kullanıldığı açıklanmıştı.

JFrog o sırada şöyle demişti: “Kullanımdan kaldırılmış olmasına rağmen, init.ps1 betiği hala Visual Studio tarafından kabul ediliyor ve bir NuGet paketi yüklenirken herhangi bir uyarı olmadan çalışacak.” “Bir saldırgan .ps1 dosyasının içine rastgele komutlar yazabilir.”

Siber güvenlik

Phylum tarafından analiz edilen pakette, PowerShell betiği uzak bir sunucudan x.bin adlı bir dosyayı indirmek için kullanılıyor; bu aslında oldukça karmaşık bir Windows Batch betiğidir ve bu da başka bir dosyanın oluşturulmasından ve yürütülmesinden sorumludur. Sonuçta SeroXen RAT’ı dağıtmak için PowerShell betiği.

Kullanıma hazır bir kötü amaçlı yazılım olan SeroXen RAT, ömür boyu paket olarak 60 $ karşılığında satışa sunuluyor ve bu da onu siber suçluların kolayca erişebilmesini sağlıyor. Quasar RAT, r77 rootkit ve Windows komut satırı aracı NirCmd’nin işlevlerini birleştiren dosyasız bir RAT’tır.

Phylum, “NuGet paketlerinde SeroXen RAT’ın keşfi, saldırganların açık kaynaklı ekosistemlerden ve bunları kullanan geliştiricilerden nasıl yararlanmaya devam ettiğinin altını çiziyor” dedi.

Bu gelişme, şirketin Python Paket Dizini (PyPI) deposunda Aliyun, Amazon Web Services (AWS) ve Tencent Cloud gibi bulut hizmet sağlayıcılarının yasal tekliflerini taklit ederek kimlik bilgilerini gizlenmiş bir uzaktan kumandaya gizlice ileten yedi kötü amaçlı paket tespit etmesiyle gerçekleşti. URL’si.

Paketlerin adları aşağıda listelenmiştir –

  • tencent-cloud-python-sdk’si
  • python-alibabacloud-sdk-çekirdeği
  • Alibabacloud-oss2
  • python-alibabacloud-çay-openapi
  • aws-numaralandır-iam
  • numaralandır-iam-aws
  • alisdkcore

Phylum, “Bu kampanyada saldırgan, mevcut, köklü bir kod tabanını alarak ve hassas bulut kimlik bilgilerini sızdırmayı amaçlayan tek bir bitlik kötü amaçlı kod ekleyerek geliştiricinin güvenini istismar ediyor” dedi.

“Bu incelik, saldırganın paketlerin orijinal işlevselliğini koruma stratejisinde yatıyor, tabiri caizse radarın altından uçmaya çalışıyor. Saldırı minimalist ve basit ama yine de etkili.”

Siber güvenlik

Aynı kampanyanın ek ayrıntılarını da paylaşan Checkmarx, Telegram’ın API’si ile etkileşime geçmek için bir Python kütüphanesi olan telethon’u taklit etmeyi amaçlayan telethon2 adlı aldatıcı bir paket aracılığıyla Telegram’ı hedeflemek için tasarlandığını söyledi.

Sahte kütüphanelerin indirilmesinin çoğunluğu ABD’den geliyor ve onu Çin, Singapur, Hong Kong, Rusya ve Fransa takip ediyor.

Python kütüphanesi

Şirket, “Bu paketlerdeki kötü amaçlı kod, otomatik yürütme gerçekleştirmek yerine, yalnızca bu işlevler çağrıldığında tetiklenecek şekilde tasarlanan işlevlerin içine stratejik olarak gizlendi” dedi. “Saldırganlar, geliştiricileri kötü amaçlı paketlerine çekmek için Typosquatting ve StarJacking tekniklerinden yararlandı.”

Bu ayın başlarında Checkmarx, Windows ana bilgisayarlarından hassas verileri ve kripto para birimini çalmak amacıyla yazılım tedarik zincirini 271 kötü amaçlı Python paketiyle beslemek için PyPI’yi hedefleyen amansız ve giderek karmaşıklaşan bir kampanyayı daha da açığa çıkardı.

Sistem savunmasını ortadan kaldıracak işlevlerle de donatılmış olarak gelen paketler, kaldırılmadan önce toplu olarak yaklaşık 75.000 kez indirildi.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link