Κακόβουλα πακέτα NuGet που εμφανίζονται να έχουν πάνω από 2 εκατομμύρια λήψεις υποδύονται τα πορτοφόλια κρυπτογράφησης, το ανταλλακτήριο κρυπτογράφησης και τις βιβλιοθήκες Discord για να μολύνουν τους προγραμματιστές με το trojan απομακρυσμένης πρόσβασης SeroXen.
Το NuGet είναι ένα σύστημα διαχείρισης πακέτων ανοικτού κώδικα και διανομής λογισμικού που λειτουργεί διακομιστές φιλοξενίας πακέτων για να μπορούν οι χρήστες να τα κατεβάζουν και να τα χρησιμοποιούν για τα αναπτυξιακά τους έργα.
Τα κακόβουλα πακέτα που ανέβηκαν στο NuGet από έναν χρήστη με το όνομα “Disti” ανακαλύφθηκαν από τους ερευνητές της Phylum, οι οποίοι δημοσίευσαν σήμερα μια έκθεση για να προειδοποιήσουν για την απειλή.
Και τα έξι πακέτα στο αποθετήριο του Disti περιέχουν το ίδιο αρχείο XML που κατεβάζει το “x.bin”, ένα συγκεκαλυμμένο αρχείο δέσμης των Windows που εκτελεί κακόβουλες δραστηριότητες στο σύστημα που έχει παραβιαστεί.
Τα πακέτα μιμούνται δημοφιλή έργα, ανταλλαγές και πλατφόρμες κρυπτονομισμάτων, εμφανίζοντας ακόμη και τα επίσημα λογότυπα για να ξεγελάσουν τους χρήστες.
Τα έξι πακέτα που ανέβασε ο Disti στο NuGet, και τα οποία είναι ακόμη διαθέσιμα τη στιγμή που γράφεται αυτή η αναφορά, είναι τα εξής:
- Kraken.Exchange – 635k downloads
- KucoinExchange.Net – 635k downloads
- SolanaWallet – 600k downloads
- Modern.Winform.UI – 100k downloads
- Monero – 100k downloads
- DiscordsRpc – 75k downloads
Οι αριθμοί λήψης θεωρούνται υπερβολικοί και ενδέχεται να μην είναι αντιπροσωπευτικοί της εμβέλειας αυτών των πακέτων στην κοινότητα NuGet.
Παρόλα αυτά, αυτοί οι αριθμοί λήψεων ενισχύουν αποτελεσματικά την αντιληπτή αξιοπιστία των πακέτων, κάνοντάς τα να φαίνονται σαν γνήσιες εκδόσεις των εφαρμογών ή των πλατφορμών που υπονοούνται από τα ονόματά τους.
Ο Disti μπορεί να διόγκωσε τα στοιχεία λήψης χρησιμοποιώντας αυτοματοποιημένα σενάρια, botnets, εικονικές μηχανές ή cloud containers που κατεβάζουν ένα πακέτο πολλές φορές.
Τα πακέτα ενσωματώνουν δύο σενάρια PowerShell που εκτελούν αρχεία CMD και Batch κατά την εγκατάσταση στον υπολογιστή του θύματος.
Η δέσμη ενεργειών κατεβάζει ένα αρχείο από μια εξωτερική διεύθυνση URL, το αποθηκεύει ως “.cmd” σε έναν προσωρινό κατάλογο και το εκτελεί χωρίς να εμφανίζει τίποτα στην οθόνη.
Αυτή η δέσμη ενεργειών ανακτά ένα άλλο αρχείο με όνομα “x.bin”, το οποίο, παρά το όνομά του, είναι μια συγκεκαλυμμένη δέσμη ενεργειών με πάνω από 12.000 γραμμές και σκοπός της είναι να κατασκευάσει και να εκτελέσει μια ακόμη δέσμη ενεργειών PowerShell.
Τελικά, αυτή η τελική δέσμη ενεργειών διαβάζει τμήματα από το αρχείο cmd για να αποκρυπτογραφήσει και να αποσυμπιέσει ένα κωδικοποιημένο ωφέλιμο φορτίο από το εσωτερικό του, το οποίο σύμφωνα με την Phylum είναι το SeroXen RAT.
Αυτό το πλούσιο σε χαρακτηριστικά trojan απομακρυσμένης πρόσβασης διατίθεται στην αγορά ως νόμιμο πρόγραμμα και πωλείται για $15/μήνα ή για μια εφάπαξ “ισόβια” αγορά των $60.
Τον Μάιο, η AT&T ανέφερε ότι το SeroXen RAT κερδίζει ολοένα και μεγαλύτερη δημοτικότητα μεταξύ των κυβερνοεγκληματιών που εκτιμούν τα χαμηλά ποσοστά εντοπισμού και τις ισχυρές δυνατότητές του.
Ο Anastasis είναι ένας από τους κορυφαίους αρθρογράφους μας, ειδικευμένος σε θέματα κυβερνοασφάλειας.
Με την εμπειρία του, παρέχει στην κοινότητα πολύτιμες γνώσεις και συμβουλές.