Из NuGet — в сердце вашей системы: на полках репозитория появились библиотеки с сюрпризом

Специалисты в области кибербезопасности обнаружили очередную кампанию, нацеленную на пользователей репозитория NuGet. Как выяснили исследователи из ReversingLabs, она ведется с 1 августа 2023 года.

Злоумышленники публикуют в NuGet поддельные пакеты, маскируя их под популярные библиотеки. Среди обнаруженных:

• Pathoschild.Stardew.Mod.Build.Config
• KucoinExchange.Net
• Kraken.Exchange
• DiscordsRpc
• SolanaWallet
• Monero
• Modern.Winform.UI
• MinecraftPocket.Server
• IAmRoot
• ZendeskApi.Client.V2
• Betalgo.Open.AI
• Forge.Open.AI
• Pathoschild.Stardew.Mod.BuildConfig
• CData.NetSuite.Net.Framework
• CData.Salesforce.Net.Framework
• CData.Snowflake.API

Чтобы ввести пользователя в заблуждение, мошенники прибегают к различным уловкам. Они искусственно завышают количество скачиваний файлов, а сам код маскируют с помощью специальных символов и отступов.

Когда зараженная библиотека успешно установлена, начинается загрузка основной вредоносной программы, написанной на.NET. Эту программу размещают во временных репозиториях на GitHub, вероятно, чтобы затруднить её обнаружение и удаление.

Таким образом на компьютер жертвы попадает троян SeroXen RAT, предоставляющий хакерам полный доступ к системе.

Эксперты отмечают, что это первый известный случай использования встроенных задач MSBuild в NuGet для подобных кампаний.

MSBuild — это технология, позволяющая автоматически запускать код при установке библиотеки.

Разработчикам советуют проявлять повышенную бдительность при установке пакетов из сторонних источников. Также необходимо ужесточить проверку файлов, публикуемых в официальном репозитории NuGet.

Борьба с киберпреступностью требует от всех участников рынка повышенной бдительности и совершенствования методов защиты. Только комплексный подход и внимание к деталям помогут минимизировать риски.