網絡安全研究人員發現了一組新的惡意軟件包，這些軟件包使用一種鮮為人知的惡意軟件部署方法發布到 NuGet 軟件包管理器上。

軟件供應鏈安全公司 ReversingLabs 稱，該活動自 2023 年 8 月 1 日以來一直在持續進行，同時將其與大量流氓 NuGet 軟件包聯系起來，這些軟件包被觀察到正在傳播一種名為 SeroXen RAT 的遠程訪問木馬。

ReversingLabs 的反向工程師 Karlo Zanki 在一份報告中說：幕后的威脅行為者執著地希望將惡意軟件植入 NuGet 存儲庫，并不斷發布新的惡意軟件包。

部分軟件包的名稱如下：

• Pathoschild.Stardew.Mod.Build.Config
• KucoinExchange.Net
• Kraken.Exchange
• DiscordsRpc
• SolanaWallet
• Monero
• Modern.Winform.UI
• MinecraftPocket.Server
• IAmRoot
• ZendeskApi.Client.V2
• Betalgo.Open.AI
• Forge.Open.AI
• Pathoschild.Stardew.Mod.BuildConfig
• CData.NetSuite.Net.Framework
• CData.Salesforce.Net.Framework
• CData.Snowflake.API

這些軟件包跨越多個版本，模仿流行軟件包并利用 NuGet 的 MSBuild 集成功能植入惡意代碼，以實現代碼執行。

惡意 NuGet 軟件包

Zanki說：這是第一個已知的利用內聯任務功能在NuGet軟件庫中發布惡意軟件并執行的例子。

現在被刪除的軟件包表現出了類似的特征，即幕后的威脅者試圖利用空格和制表符來隱藏惡意代碼，使其脫離默認屏幕寬度的視野。

正如 Phylum 此前披露的那樣，這些軟件包還人為刷大了下載次數，使其看起來更合法。Zanki 說：這一活動背后的威脅行為者非常謹慎，注重細節，并決心讓這一惡意活動保持活躍。

參考鏈接：https://thehackernews.com/2023/10/malicious-nuget-packages-caught.html