【安全圈】在 NuGet 供应链攻击中发现的 60 个新恶意包

关键词

作为 2023 年 8 月开始的持续活动的一部分，已观察到威胁行为者向 NuGet 包管理器发布了新一波恶意包，同时还增加了一层新的隐身性以逃避检测。

软件供应链安全公司 ReversingLabs 表示，这些新软件包数量约为 60 个，涵盖 290 个版本，展示了与 2023 年 10 月曝光的上一组软件包相比的改进方法。

安全研究员Karlo Zanki说，攻击者从使用NuGet的MSBuild集成转向“一种使用简单，混淆的下载器的策略，这些下载器使用中间语言（IL）Weaving插入到合法的PE二进制文件中，这是一种.NET编程技术，用于在编译后修改应用程序的代码。

假冒包装的最终目标，无论是旧的还是新的，都是提供一种名为 SeroXen RAT 的现成远程访问木马。此后，所有已识别的包裹都已被删除。

最新的包集合的特点是使用一种称为 IL 编织的新技术，该技术可以将恶意功能注入与合法 NuGet 包关联的可移植可执行 （PE） .NET 二进制文件。

这包括采用流行的开源包，如Guna.UI2.WinForms，并使用上述方法对其进行修补，以创建一个名为“Gսոa.UI3.Wіnfօrms”的冒名顶替包，该包使用同形体将字母“u”、“n”、“i”和“o”替换为它们的等效项“ս”（\u057D）、“ո”（\u0578）、“і”（\u0456）。和“օ”（\u0585）。

Zanki说：“威胁行为者正在不断改进他们用来破坏和感染受害者的方法和策略，这些恶意代码用于提取敏感数据或为攻击者提供对IT资产的控制权。

“这项最新的活动凸显了恶意行为者正在策划欺骗开发人员和安全团队的新方式，以下载和使用来自流行的开源包管理器（如NuGet）的恶意或篡改的包。”