Зловмисники публікують нову хвилю шкідливих пакетів у менеджері пакетів NuGet в рамках кампанії, яка розпочалася в серпні 2023 року. Крім того, їх стало ще важче виявити.
Близько 60 нових пакетів, які охоплюють 290 версій, демонструють вдосконалений підхід у порівнянні з попереднім набором, який з’явився в жовтні 2023 року.
За словами дослідника безпеки Карло Занкі, зловмисники перейшли від використання інтеграцій NuGet з MSBuild до «стратегії, яка використовує прості, завуальовані завантажувачі, які вставляються в справжні двійкові файли PE за допомогою Intermediary Language (IL) Weaving, техніки програмування .NET для модифікації коду програми після компіляції».
Кінцевою метою підроблених пакетів є доставлення готового трояна для віддаленого доступу під назвою SeroXen RAT. Усі виявлені з того моменту пакети видаляються.
Остання колекція пакетів характеризується використанням нової техніки під назвою IL weaving, яка дозволяє впроваджувати шкідливу функціональність у двійковий файл Portable Executable (PE) .NET, пов’язаний з справжнім пакетом NuGet.
Це передбачає використання популярних пакувань з відкритим вихідним кодом, таких як Guna.UI2.WinForms, і виправлення їх за допомогою вищезгаданого методу для створення пакету – самозванця, який називається «Gսոa. UI3.Wіnfօrms», який використовує омоніми для заміни літер “u”, “n”, “i” та “o” на їхні еквіваленти “ս” (\u057D), “ո” (\u0578), “і” (\u0456) та “օ” (\u0585).
«Зловмисники постійно вдосконалюють методи і тактику, які вони використовують для компрометації та зараження шкідливим кодом, який використовується для вилучення конфіденційних даних або надання зловмисникам контролю над ІТ-активами», – зазначив Занкі.
«Ця остання кампанія висвітлює нові способи, за допомогою яких зловмисники намагаються обдурити розробників та служби безпеки, щоб змусити їх завантажувати та використовувати шкідливі або підроблені пакети з популярних менеджерів пакетів з відкритим вихідним кодом, таких як NuGet».
Джерело: The Hacker News
