在.NET Framework的NuGet軟件包管理器上發現了一個惡意軟件包，它可發送名為SeroXen RAT的遠程訪問木馬。

軟件供應鏈安全公司Phylum在今天的一份報告中說，這個名為Pathoschild.Stardew.Mod.Build.Config的軟件包是一個名為Pathoschild.Stardew.ModBuildConfig的合法軟件包的篡改版本。

據了解，真實軟件包迄今已獲得近 79000 次下載，但惡意變種在 2023 年 10 月 6 日發布后人為虛假夸大了下載次數，讓其下載量突破了 10萬 次。

該軟件包背后的個人資料還發布了其他六個軟件包，累計吸引了不少于210萬次下載，其中四個偽裝成各種加密服務（如Kraken、KuCoin、Solana和Monero）的庫，但也是為了部署SeroXen RAT而設計的。

攻擊鏈是在安裝軟件包時通過 tools/init.ps1 腳本啟動的，該腳本旨在不觸發任何警告的情況下實現代碼執行，JFrog 曾在 2023 年 3 月披露過利用這種行為檢索下一階段惡意軟件的情況。

JFrog當時表示：盡管init.ps1腳本已被棄用，但它仍被Visual Studio認可，并會在安裝NuGet軟件包時不發出任何警告的情況下運行。在 .ps1 文件中，攻擊者可以編寫任意命令。

在Phylum分析的軟件包中，PowerShell腳本被用來從遠程服務器下載一個名為x.bin的文件，而這個文件實際上是一個被嚴重混淆的Windows批處理腳本，它反過來負責構建和執行另一個PowerShell腳本，最終部署SeroXen RAT。

SeroXen RAT是一款現成的惡意軟件，以60美元的終身捆綁價格出售，因此網絡犯罪分子很容易獲得它。它是一種無文件 RAT，結合了 Quasar RAT、r77 rootkit 和 Windows 命令行工具 NirCmd 的功能。

該公司在Python包索引（PyPI）資源庫中檢測到7個惡意軟件包，它們冒充阿里云、亞馬遜網絡服務（AWS）和騰訊云等云服務提供商的合法產品，偷偷將憑證傳輸到一個混淆的遠程URL。

軟件包名稱如下：

• 騰訊云--python-sdk
• python-alibabacloud-sdk-core
• alibabacloud-oss2
• python-alibabacloud-tea-openapi
• aws-enumerate-iam
• enumerate-iam-aws
• alisdkcore

Phylum指出：在這次攻擊活動中，攻擊者利用了開發人員的信任，利用現有的、完善的代碼庫，插入了一段惡意代碼，目的是滲出敏感的云憑證。

Phylum指出：其精妙之處在于，攻擊者采取了保留軟件包原有功能的策略，試圖掩人耳目。這種攻擊簡約而有效。

Checkmarx 還分享了同一活動的其他細節，稱其目的也是通過一個名為 telethon2 的欺騙性軟件包來攻擊 Telegram，該軟件包旨在模仿 telethon，這是一個與 Telegram API 交互的 Python 庫。

假冒庫的下載大多來自美國，其次是中國、新加坡、中國香港、俄羅斯和法國。

該公司表示：這些軟件包中的惡意代碼并不是自動執行的，而是被策略性地隱藏在函數中，只有當這些函數被調用時才會觸發。攻擊者利用 Typosquatting 和 StarJacking 技術引誘開發者使用他們的惡意軟件包。

本月早些時候，Checkmarx 進一步揭露了針對 PyPI 逐步復雜的攻擊活動，即在軟件供應鏈中埋下 271 個惡意 Python 軟件包，以便從 Windows 主機上竊取敏感數據和加密貨幣。

這些軟件包還帶有破壞系統防御的功能，在被下架前總共被下載了約 75000 次。

參考鏈接：https://thehackernews.com/2023/10/malicious-nuget-package-targeting-net.html